KR19990021932A - 다중 어드레스 보안 아키텍처 - Google Patents

다중 어드레스 보안 아키텍처 Download PDF

Info

Publication number
KR19990021932A
KR19990021932A KR1019970708407A KR19970708407A KR19990021932A KR 19990021932 A KR19990021932 A KR 19990021932A KR 1019970708407 A KR1019970708407 A KR 1019970708407A KR 19970708407 A KR19970708407 A KR 19970708407A KR 19990021932 A KR19990021932 A KR 19990021932A
Authority
KR
South Korea
Prior art keywords
port
packet
match
address
repeater
Prior art date
Application number
KR1019970708407A
Other languages
English (en)
Other versions
KR100442763B1 (ko
Inventor
윌리암 로
이안 크레이포드
Original Assignee
미키오 이시마루
아드밴스트 마이크로 디이바이시스 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미키오 이시마루, 아드밴스트 마이크로 디이바이시스 인코포레이티드 filed Critical 미키오 이시마루
Publication of KR19990021932A publication Critical patent/KR19990021932A/ko
Application granted granted Critical
Publication of KR100442763B1 publication Critical patent/KR100442763B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

데이터 패킷 마스킹은 구현하는 보안 중계기(20)는 매 포트에 기초를 하여 어느 다수의 선택 가능한 자격 조건에 응답하는 프로그램 가능한 선택적 디스럽트 응답을 포함한다. 디스럽트 제어기(70)는 데이터 패킷의 필드의 각종 특성 및 다른 조건을 나타내는 신호를 수신한다. 레지스터 뱅크(76)는 메모리중 하나가 각 포트 및 어떤 조건에 관련된 다수의 메모리를 포함하고, 데이터 패킷에 대한 관련 포트의 디스럽트 응답을 결정하도록 디스럽트 제어기를 원조한다. 특정 포트에 대한 디스럽트 제어 코드가 관련 포트를 인에이블함을 나타내는 값을 가질 시에, 제어 코드와 관련된 조건 신호의 디어서션은 데이터 패킷의 디스럽션을 유발시킨다. 셀 배열(200)은 집적 반도체 구조를 간단하고, 효율적인 스케일링 및 형성을 하여, 복잡한 디스럽트 논리식을 구현한다.

Description

다중 어드레스 보안 아키텍처
본 발명은 일반적으로 근거리 통신망내의 데이터 패킷 보안에 관한것으로서, 특히, 다중 포트 보안 중계기를 이용한 망내의 선택 가능한 패킷 디스럽트(disrupt)를 가진 향상된 보안 컴퓨터망에 관한 것이다.
컴퓨터망은 통상적으로 오늘날의 사업 환경에 이용되어 왔다. 통상적인 하나의 망 시스템 구조는 하나 이상의 중계기를 이용한다. 이런 중계기는 통상적으로 다수의 포트를 포함한다. 한 포트에서 수신된 특정 데이터 패킷은 중계기의 다른 포트로 재전송된다. 각 중계기는 한 포트상에서 수신된 데이터 패킷의 타이밍 및 진폭 저하(degradation)를 복원시켜, 이를 망을 통해 모든 다른 포트로 재전송한다. 이더넷(Ethernet)망과 같은 CSMA/CD-형의 망을 채용한 망에 대해, 모든 데이터 패킷은 모든 중계기를 통과한다. 망 관리자는 이에 의해 망의 동작에 관계한 정보를 수집하도록 망상의 소자로서 각 중계기를 편리하게 이용할 수 있다. 통상적인 이더넷(802.3 10BASE5) 및 칩퍼넷(cheapernet) (802.3 10BASE2)에서, 동축 케이블은 근거리 통신망의 모든 노드가 접속되는 선형 버스를 제공한다. IEEE에 의해 공표된 표준 (IEEE 표준 802.3)은 컴퓨터망에 대한 다양한 기능을 정의하고 있다. 이런 표준은 여기서 참조로 특별히 포함된다. 전류 동기 기술을 이용하여 신호화가 성취되는 데, 여기서 동축 케이블의 중심 도체는 신호에 이용되고, 동축 케이블의 차폐(shield) 도체는 기준 전압(통상적으로 접지)에 이용된다. 트위스트 페어(twisted pair) 이더넷(802.3 10BASE-T)은 동축 케이블 보다는 표준 음성 등급 전화 케이블을 이용한다. 전화 케이블은 전송 및 수신을 위해 분리쌍의 도전선을 이용한다.
트위스트 페어 이더넷을 이용할 시에, 망 구성은 성형 토폴로지(star topology) 방식으로 이루어진다. 이런 성형 토폴로지는 다수의 종단국(end station) 또는 데이터 단말 장비(DTE) 소자를 제공하는 데, 이들 모두는 성형의 중심에 위치된 다중 포트 중계기에 결합된다. 중계기는 신호 진폭 및 타이밍 복원을 수행한다. 중계기는 그의 한 포트에서 비트스트림(bitstream)을 수신하고, 모든 적절한 출력 포트에 대한 신호 진폭 레벨 및 타이밍 요구사항(requirments)을 복원한다. 중계기는 그의 다른 모든 포트에 대한 재형성 및 재타임(retimed) 입력 비트스트림을 반복한다. 어떤 점에서, 중계기는 논리적 동축 케이블 작용을 하고, 동축 케이블이 이용되는 그대로 트위스트 페어 망에 접속된 모든 노드가 어느 다른 노드에서 각 전송문을 수신하게 한다. 도체의 쌍은 차분 신호를 이용하는 데, 한쌍은 전송을 위하고, 다른 쌍은 수신을 위한 것이다.
중계기가 IEEE 802.3 10BASE-T에서 망의 물리적 거리 한계를 연장할 메카니즘으로서 통상적인 배선 동축 이더넷망에 이용될 시, 표준은 2개 이상의 노드가 제공될 때마다 노드간에 접속하도록 중계기의 사용을 위임한다. 케이블상의 물리적 신호가 통상적인 이더넷형의 중계기 및 트위스트 페어형의 중계기 간에 차가 있지만, 중계기의 기능은 망상의 참여(participating) 노드간에 메시지를 통과시키는 데 이용되는 프레임 또는 패킷 포맷임에 따라 동일하다.
패킷은 교번(1 및 0) 패턴인 프리앰블 시퀀스(preamble sequence)부터 시작한다. 프리앰블 시퀀스는 망상에서 단일 주파수, 이 경우에 각 프레임의 시점에서의 5 메가헤르쯔(MHz)를 제공하여, 수신기가 관련 비트스트림을 획득하게 하여 그에 고정하게 한다. 프리앰블 시퀀스는 전송 데이터부에 바로 앞서는 프레임 식별자의 개시에 선행한다. 프레임 디리미터(delimiter) (802.3)의 개시 또는 동기 시퀀스(이더넷)중 어느 하나는 메시지의 데이터부의 개시를 나타낸 것이다. 프레임 식별자의 개시에 뒤따라 2개의 어드레스 필드, 즉, 목적 어드레스(DA) 및 원시 어드레스(SA)가 있다. 이런 어드레스는 양자 모두 48 비트 값을 가지며, 최하위 비트(LSB)가 먼저 전송된다.
각 DTE와 관련된 매체 액세스 제어기(MAC)는 유입(incoming) 패킷이 관련된 노드로 어드레스되는 지를 결정할 목적 어드레스를 이용한다. 수신 노드가 그 자신의 노드 어드레스 및, 목적 어드레스 필드에 전송된 어드레스 간의 매치(match)를 검출할 시에, 패킷을 수신할려고 시도한다. 매치 어드레스를 검출하지 않는 MAC를 가진 노드는 통상적으로 잔여 패킷을 무시한다.
802.3 표준으로 지지된 3가지 형의 목적 어드레스가 있다.
1. 개별. DA 필드는 망상의 단일 노드에 할당된 개별 및 단일 어드레스를 포함한다.
2. 멀티캐스트. DA의 제 1 비트(LSB)가 세트될 시에, 잔여 DA는 그룹 어드레스를 포함한다. 실제 어드레스된 노드의 그룹은 상위계층 함수에 의해 결정된다. 일반적으로, 그룹 어드레스의 사용으로, 망상에서 논리적으로 유사한 노드의 서브세트로 메시지를 전송하도록 설계된다.
3. 방송. 방송은 DA 필드가 모드 1로 세트되는 특정형의 멀티캐스트 어드레스이다. 이런 어드레스는 예약되고, 망상의 모든 노드는 방송 메시지를 수신할 수 있어야 한다.
데이터 패킷은 전송하는 MAC는 그 자신의 어드레스를 SA 필드내로 기록한다. 이는 전송 MAC가 발신하는 패킷을 식별하게 한다. 802.3 표준은 수신 MAC가 SA 필드에 따라 소정의 동작을 취함을 필요로 하지 않는다. 관리, 보안 또는 구성과 같은 몇몇 응용에서, SA 필드는 트랙되고 모니터될 수 있다.
2-바이트 길이/형 필드는 SA 필드에 뒤따른다. 길이 또는 형의 선택은 프레임이 IEEE 802.3 또는 이더넷 표준과 호환 가능한지에 의존한다. 길이/형 필드의 상위 바이트는 먼저 전송되는 데, 각 바이트의 LSB가 먼저 전송된다.
데이터 필드는 종단국간에 전달되고, 길이가 46 내지 1500 바이트 사이에 있는 실제 패킷 데이터를 포함한다. 논리적 링크 제어(LLC) 함수는 망을 통해 전송하기에 적당한 블록 사이즈로 데이터를 단편화시킨다. 데이터 바이트가 순차적으로 전송되는 데, 각 바이트의 LSB가 먼저 전송된다.
프레임 검사 시퀀스(FCS)는 전체 프레임에 대한 순환 여유 검사(cyclic redundancy check; CRC)를 포함하는 4-바이트 필드이다. 전송국은 DA, SA, 길이/형 필드 및 데이터 필드내내 CRC를 계산한다. 전송국은 프레임의 최종 4 바이트로서 FCS를 부가한다. 수신국은 수신된 프레임에 대한 CRC를 계산하도록 동일한 CRC 알고리즘을 이용한다. 수신국은 계산한 CRC 값을 전송된 FCS의 CRC 값과 비교한다. 미스매치(mismatch)는 손상된 데이터 프레임과 같은 에러를 나타낸다. FCS의 CRC 비트는 순서, 즉 최상위 비트(MSB)에서 LSB로 전송된다.
도 1 및 2는 제각기 IEEE 802.3 표준 컴플라이언트(compliant) 패킷 및 이더넷 패킷에 대한 프레임 포맷을 설명한 다이어그램이다. 패킷 포맷의 비교로, 패킷형간의 첫번째 차로서, 802.3에 대한 프레임 디리미터의 개시(SFD)는 10101011 패턴을 가진 바이트로서 정의되는 반면에 이더넷의 개시 프레임(동기)은 11 시퀀스이다는 것이 설명된다. 비록 그렇다 할지라도 두 경우에, 프레임 표시의 개시 플러스 프리앰블에 대한 전체 비트수는 길이가 64 비트이다.
802.3 및 이더넷 표준은 양자 모두 프레임이 (프리앰블/SFD를 포함하는) 64 내지 1518 바이트의 범위내에 있어야 함을 나타낸다. 그러나, 802.3 시스탬내의 실제 데이터 필드는 확실히 사이즈가 최소로 되게 할 필요가 있는 46 바이트 값보다 작게 된다. 더욱 작은 사이즈 데이터 필드를 조정하기 위하여, 전송국의 MAC는 망을 통해 데이터를 전송하기 전에 패드 문자를 LLC 데이터 필드에 부가한다. 이더넷 표준은 상위 계층이 최소 데이터 필드가 데이터를 MAC로 통과하기 전에 46 바이트임을 보장하는 것으로 추정하여, MAC에 알려지지 않은 부가된 패드 문자의 존재로 이더넷 포맷이 구현된다.
802.3 표준은 또한 단지 데이터 필드내에 있는 데이터 바이트의 수를 나타내는 길이 필드를 사용한다. 다른 한편, 이더넷은 메시지 프로토콜형을 식별하도록 동일한 2 바이트의 형 필드를 사용한다. 타당한 이더넷형 필드가 항상 타당한 최대 802.3 패킷 길이 사이즈 외부에 지정되므로, 두 802.3 및 이더넷 패킷은 동일한 망상에 동시에 존재할 수 있다. 그래서, 다양한 이유로 어드레스를 트랙하고 모니터할 수 있는 것이 중요한 것으로 알게 되었다. 예를 들면, 보안 망에 대해, 망상의 적당한 노드가 정보를 확실히 수신하도록 인증(authentication)을 필요로 하는 것이 중요하게 될 수 있다. 게다가, 망이 여기에 부착된 노드의 수를 변화시킴에 따라, 망내의 특정 포트등과 어드레스를 관련시킬 수 있는 것이 중요하게 된다.
또한, 보안망에서는 노드가 정보를 필요로 하지 않을 경우 그런 어드레스 및/또는 데이터 정보를 선택적으로 수신하지 않게 하는 것이 중요하다. 데이터 패킷이 특정 노드로 예정되어 있지 않을 경우, 특정 노드는 일반적으로 데이터 패킷내의 정보의 필요성을 갖지 않는다.
더욱이, 중계기의 각 포트를 상기 포트에 접속된 소자의 아이덴티티(identity) 또는 실제 어드레스와 관련시킬 메카니즘을 제공하는 것이 중요하다. 통상적으로, 불안전한 중계기는 신호 진폭 및 타이밍 복원에 바로 이용되는 소자이다. 전술된 모든 모드에서, 보안 중계기에는 또한 망상에 전송되는 데이터 패킷내에서 각종 필드를 해석할 능력이 있게 된다.
전술된 바와 같이, 컴퓨터망내에 전송된 모든 데이터 패킷은 데이터 패킷의 수신을 식별할 목적 어드레스를 포함한다. 보안망내의 보안 중계기는 각 포트에 부착된 하나 이상의 종단국을 가질 수 있다. 각 종단국은 최소한 하나의 지정된 단일 어드레스 및, 아마 하나 이상의 멀티캐스트 어드레스를 갖는다. 보안 중계기는 각 출력 포트에 대한 관련 종단국의 리스트를 유지한다. 포함된 참조물(references)내에서 식별된 보안 시스템은 목적 어드레스와 관련된 단지 출력 포트로 데이터 패킷을 루트하도록 각 데이터 패킷에서 목적 어드레스 필드를 사용한다. 목적 어드레스와 관련되지만, 그와 매치하지 않는 보안 중계기의 출력 포트는 수정되거나 디스럽트된 데이터 패킷을 수신한다. 보안 환경의 양호한 실시예에서, 목적 어드레스 필드가 전송된 후에 까지 보통 디스럽션을 시작하지 않는다. 환언하면, (원시 어드레스로 부터) 목적 어드레스에 뒤따른 모든 필드는 디스럽트된다.
컴퓨터망 망 보안을 향상시키는 디스럽트 메카니즘은 데이터 패킷의 수신이 계획되지 않은 종단 사용자에게 전송된 데이터 패킷을 스크램블(scramble)하도록 설계된다. 개념상, 중계기에 접속된 최종 사용자국의 어드레스가 학습(learn)될 수 있으므로 데이터 패킷 디스럽션을 구현하기가 비교적 쉬우며 (예를 들어, 중계기는 종단 사용자국으로 부터 수신된 데이터 패킷에서 인출된 원시 어드레스를 판독하고 저장할 수 있다.), 그 후 수신된 패킷으로 부터의 목적 어드레스 및 학습 어드레스의 비교로 데이터의 분포 및 디스럽션이 제어된다.
그런 보안 시스템의 실제 구현은 공지된 많은 난점에 의해 더욱 어렵게 된다. 첫번째 난점은 포트를 통해 접속된 종단국일 것 같을 시에 포트마다 중계기가 충분한 저장 장소를 필요로 한다는 것이다. 다른 중계기나, (코욱스(coax)와 같은) 분기(multi-drop) 세그먼트에 접속되는 중계기의 포트에 대해, 잠재적으로 많은 어드레스는 포트와 관련되고, 저장될 필요가 있다. 망의 실제 토폴로지는 중계기에는 알려지지 않아, 저장 장소의 수는 포트의 수 만큼 증배된다.
두번째 난점은 중계기가 수신하는 멀티캐스트 패킷이 그룹의 모든 멤버에 전달되어야 한다는 것이다. 때때로 그룹은 다중 중계기에 걸쳐 분할된다. 상호 중계기 링크, 즉 2개의 중계기의 포트간의 접속은 다른 중계기상에서 멀티캐스트 패킷을 그룹 멤버로 통과시킨다. 어떤 그룹의 멤버도 상호 중계기 링크에 결합되지 않는 경우와 같이 순방향(forward)되지 않는 멀티캐스트 패팃을 통과시키지 않게 하기 위하여, 상호 중계기 링크와 관련된 포트는 다른 중계기상에 존재하는 모든 멀티캐스트 어드레스를 저장할 수 있다.
세번째 난점은 개별 또는 멀티캐스트중 어느 하나의 몇몇 어드레스가 보안 중계기에 알려지고, 몇몇이 알려지지 않는다는 것이다. 알려지지 않은 어드레스를 가진 패킷은 알려지지 않은 어드레스와 관련된 종단국이 다른 중계기나, 다른 중계기에 접속된 또다른 중계기상에 존재할 수 있으므로 상호 중계기 링크에 걸쳐 전송된다. 그런, 첫번째 2개의 문제점은 통상적으로 특히 상호 중계기 링크에 접속된 어드레스가 저장되게 하는 것이 바람직하게 될 경우에 중계기에 대한 초과 메모리 요구 사항을 필요로 한다.
모든 어드레스가 저장될 수 없기 때문에, 상호 중계기 링크는 통상적으로 보안되지 않고, 디스럽트되지 않은 모든 데이터 패킷을 순방향시킨다. 이런 솔루션은 보안 특성을 손상시켜, 바람직할 수 없다.
몇몇 포함된 선행 특허 및 특허출원은 데이터 패킷 디스럽션을 제어하는 하나 이상의 국면(aspects)을 구현하는 특성을 어드레스(address)한다. 많은 특허출원에 공개된 솔루션으로 다양한 특정 문제에 대한 양호한 실시예가 기술되고 있다. 이런 특성을 매 포트에 기초하여 제어할 수 있는 일반화된 선택 가능 디스럽트 특성을 가진 단일 중계기로 조합할 시에, 구현은 복잡하게 될 수 있다. 이는 특히 다중 통합 중계기가 단일 중계기로서 증가된 포트수와 상호 작용하게 하도록 확장(expansion) 버스의 사용을 어드레스하는 선행 특허에 기술된 본 발명의 실시예를 구현하는 통합 중계기에 적용된다. 본 발명의 보안 특성의 부가는 다수의 통합된 멀티포트 중계기를 단일 논리 중계기로의 조합을 복잡하게 한다.
발명의 요약
본 발명은 데이터 패킷의 보안 중계기 디스럽션에 관한 문제를 간단하고 효율적으로 어드레스하는 장치 및 방법을 제공한다.
양호한 실시예에서, 다중 어드레스 장소는 보안 중계기의 다수 포트에 부착된 종단국의 특정 필드, 예를 들어 원시 어드레스 필드의 저장에 유용하다. 이는 포트가 다중 종단국에 부착되게 하고, 소자가 다중 어드레스(개별 어드레스 또는 멀티캐스트 어드레스중 하나)를 소유하게 한다. 어드레스 저장 장소는 어드레스 저장 장소의 고정수를 각 포트에 할당하고, 잔여 저장 장소를 저장 풀(pool)에 할당하는 바와 같이 전용(dedicated) 어드레스 그룹으로 분할된다. 저장 풀내의 어드레스 저장 장소는 소정의 포트나 다중 포트에 할당될 수 있다.
개별 또는 멀티캐스트 어드레스는 어느 고정 또는 저장 풀장소내에 저장될 수 있고, 저장 풀내에 저장될시에는 다중 포트가 할당될 수 있다. 따라서, 중계기에 접속된 그룹의 모든 멤버는 그룹 어드레스된 패킷을 수신하고, 중계기상의 다른 포트는 어느것도 패킷을 수신하지 않는다. 게다가, 중계기 외부의 그룹 멤버를 갖지 않은 멀티캐스트 어드레스는 중계기가 어느 중계기간 링크에 걸친 멀티캐스트 패킷을 디스럽트하도록 인식된다.
중계기에 접속되는 것으로 알려진 어드레스는 중계기가 특정 중계기 및 적당한 종단국의 범위를 넘은 데이터 패킷의 전송을 디스럽트하게 한다.
어떤 경우에, 데이터 패킷 디스럽션의 지연이 제어 가능하기 때문에, 바람직한 어드레스 필드 정보(목적 어드레스 및 원시 어드레스)는 통상적인 망을 이용하여 보안망상의 모니터하고 분석할 시에 디스럽트되지 않게 통과된다.
이런 보안 인핸스먼트(enhancements)는 단일한 논리 중계기를 제공하도록 다른 이산(discrete) 중계기 패키지와 조합될 시 뿐만 아니라 개별적으로 이산 중계기 패키지에 대해 동작한다.
본 발명의 한 국면에 따르면, 포트마다 보안 중계기로 부터 재전송된 패킷의 디스럽션을 제어하는 장치를 포함한다. 양호한 실시예에서, 보안 중계기내에 사용된 디스럽트 회로는 별도로 다수의 조건(condition) 신호에 응답하여 중계기의 다수의 포트중 한 포트 P로 부터의 패킷의 재전송을 제어한다. 디스럽트 회로는 포트 P에 결합되어, 패킷을 수신하고, 디스럽트 선택 신호가 제 1 값을 가질 시에 포트 P로 부터의 패킷을 재전송하며, 디스럽트 선택 신호가 제 2 값을 가질 시에 포트 P로 부터의 디스럽트된 패킷을 재전송하는 디스럽터와,
상기 디스럽터에 결합되고, 다수의 조건 신호에 응답하여, 바람직한 논린 포맷에 따라 제어되는 디스럽트 선택 신호를 제어하는 디스럽트 제어기를 포함한다.
디스럽트 제어기는 (조건 신호에 대응하는) 다수의 열 및, (중계기의 개별 포트에 대응하는) 다수의 행을 가진 단일 정리된 스케일 가능 배열(array)로 구현될 수 있다. 부가적인 행의 간단한 가산으로, 부가적인 포트가 논리에 가산되고, 부가적인 열의 간단한 가산으로 다른 조건 신호를 처리하는 능력이 가산된다. 마찬가지로, 행은 포트를 제거하도록 삭제될 수 있고, 열은 조건을 제거하도록 삭제될 수 있다.
양호한 실시예에서, (매치 조건과 같은) 조건은 다른 조건 테스트의 결과에 의해 영향을 받는다. 매치 조건에 응답하는 보조형의 표준화된 디스럽트 셀은 디스럽트 배열의 출력 및, 매치 조건에 영향을 미치는 테스트를 가진 열 사이에 배치된다. 매치를 위한 특정 조건 셀의 한 측면상에 열을 가산함으로써, 조건은 매치 조건에 가산된다. 매치 셀의 다른 측면상의 열의 가산으로, 특정 조건 검사에 영향을 주지 않고 (와이어된-OR 함수로서) 조건이 가산된다.
도면 및 청구의 범위를 포함한 명세서의 잔여부를 참조로, 본 발명의 다른 특성 및 잇점이 실현될 수 있다. 본 발명의 다른 특성 및 잇점과, 본 발명의 각종 실시예의 구조 및 동작은 첨부된 도면에 대해 아래에 상세히 기술된다. 도면에서, 동일 참조 번호는 동일하거나 기능이 유사한 소자를 나타낸다.
도 1은 IEEE 802.3 컴플라이언트 패킷 포맷을 설명한 다이어그램이다.
도 2는 이더넷 컴플라이언트 패킷 포맷을 설명한 다이어그램이다.
도 3은 성형 토폴로지를 구현한 다수의 개인용 컴퓨터의 망의 개량적인 블록 다이어그램으로서, 상기 망은 각 허브(hub)에서 보안 중계기를 포함한다.
도 4는 이산 중계기 패키지의 조합으로 구현된 보안 중계기의 개략적인 블록 다이어그램이다.
도 5는 선택적인 디스럽트 응답을 구현하는 보안 중계기 패키지의 개략적인 상세 블록 다이어그램이다.
도 6은 도 5에 도시된 보안 중계기에 사용된 제어기의 상세 블록 다이어그램이다.
도 7은 도 5에 도시된 디스럽트 제어기의 상세 개략적인 다이어그램이다.
도 8은 도 5에 도시된 매치 검출기(82)의 개략적인 블록 다이어그램이다.
도 9는 간단한 셀 배열에서 레지스터 뱅크, 디스럽트 제어기 및 매치 검출기의 구현을 나타낸 다이어그램이다.
도 10은 도 9에 도시된 셀 배열의 상세 배치(layout) 다이어그램이다.
도 3은 성형 토폴로지를 구현하는 다수의 종단국(15) (예를 들어, 개인용 컴퓨터)의 망(10)의 개략적인 블록 다이어그램으로서, 상기 망(10)은 각 허브에서의 보안 중계기(20)를 포함한다. 양호한 실시예는 반송자 감지 다중 접근/충돌 검출(CSMA/CD) 컴플라이언스 망을 이용하여 구현된다. 보안 중계기(20)는 포함된 IEEE 표준 802.3에 순응한다.
동작에 있어서, 망(10)은 하나 이상의 보안 중계기(20)를 통해 한 종단국(15)에서 다른 종단국(15)으로 데이터 패킷을 통과시킨다. 보안 중계기(20)는 한 포트에서 데이터 패킷을 수신하고, 다른 포트로 부터의 데이터 패킷을 재전송한다. 보안 중계기(20)는 포함된 참조물에 기술된 바와 같이 데이터 패킷 데이터 마스킹과 같은 보안 특성을 구현한다.
도 4는 다수의 이산 중계기 패키지(25j, j=1 내지 Y)와, 마이크로프로세서(MPU) 및 관리 유니트(28)의 조합으로 구현된 보안 중계기(20)의 개략적인 블록 다이어그램이다. 다수의 이산 중계기 패키지(25j)는 데이터 버스(30) 및 노(no) 매치 버스(32)를 포함하는 확장 버스에 의해 서로 결합된다. 데이터 버스(30)에 관한 상세 사항은 확장 가능 중계기를 기술하는 포함된 선행 미국 특허에 또한 기술되어 있다. 노 매치 버스(32)는 !MATCH 신호를 캐리(carry)한다. 노 매치 버스(32)는 저항(R)에 결합된 각 이산 중계기 패키지(25)내의 개방 드레인 구동기를 이용하여 구현된다. 노 매치 버스(32)는 각 이산 중계기 패키지(25)가 어드레스 매치를 발견한 다른 패키지(25)를 통지하게 한다. 이런 특성은 아래에 또한 설명된다.
MP-DATA 버스(34)는 MPU/관리 유니트(28)를 각 이산 중계기 패키지(25)에 결합한다. MP-DATA 버스(34)의 이용으로, MPU/관리 유니트(28)는 어드레스를 판독 및 기록하고, 또한 보안 중계기(20)의 각종 디스럽션 특성을 선택적으로 인에이블 및 디스에이블한다. 공지된 바와 같이, MPU/관리 유니트(28)는 예를 들어 캘리포니아 서니베일 소재의 어드밴스드 마이크로 디바이시즈사에 의해 제조되고 판매되는 것과 같이 일반적으로 유용한 많은 마이크로프로세서/마이크로콘트롤러 중 어느 하나를 포함할 수 있다.
도 5는 선택적 디스럽트 응답을 구현하는 도 4에 도시된 이산 중계기 패키지(25)의 개략적인 상세 블록 다이어그램이다. 이산 중계기(25)는 중계기 전치부(from-end)(50), 제어기(55), 시프트 레지스터(60), 어드레스 비교 회로(65), 다수의 프로그램 가능한 디스럽트 제어기(70i), 다수의 디스럽터(75i), 레지스터 뱅크(76), 48개의 입력 AND 게이트(78), 다수의 출력 데이터 멀티플렉서(80i), 매치 검출기(82) 및 마이크로프로세서 인터페이스(84)를 포함한다.
설명을 쉽게 하기 위하여, 단지 하나의 프로그램 가능한 디스럽트 제어기(70x) 및 하나의 멀티플렉서(80x)가 도시된다. 중계기 패키지(25)의 모든 포트에 대해 하나의 디스럽트 제어기, 하나의 디스럽터 및 하나의 멀티플렉서가 있는 것으로 이해된다. 중계기 전치부(50)는 다수의 입력 포트(85i, I=1 내지 n)중 특정 하나의 포트에서 데이터 패킷을 수신하며, 여기서 n은 포트의 수이다. 중계기 전치부(50)는 포함된 IEEE 802.3 표준에 따라 데이터 패킷을 처리한다. 중계기 전치부(50)는 ENABLE 신호 및, 직렬 출력 스트림인 DATA 신호를 출력시키다. DATA는 입력 데이터 패킷에서의 데이터로 구동된다. ENABLE는 중계기 전치부(50)가 DATA를 데이터 패킷에서의 유효(valid) 데이터로 구동하는 동안은 어서트(assert)된다.
제어기(55)는 중계기 전치부(50)에 결합되어, ENABLE 신호 및 DATA 신호를 수신한다. 아래에 더욱 상세히 기술되는 바와 같이, 제어기(55)는 SHIFT_ENABLE 신호, COMPARE 신호, 양호한 실시예에서 DA_PRESENT 신호인 제 1 어드레스 프리젠트(present) 신호(ADDR_1) 및, 양호한 실시예에서 SA_PRESENT 신호인 제 2 어드레스 프리젠트 신호(ADD_2)를 어서트할 논리를 포함하는 데, 이들 모두는 ENABLE 및 DATA 신호에 응답한다.
시프트 레지스터(60)는 두 중계기 전치부(50) 및 제어기(55)에 결합된다. 시프트 레지스터(60)는 입력에서 DATA를 수신하는 우측 시프트 레지스터이다. 시프트 레지스터(60)는 SHIFT_ENABLE 신호의 어서션(assertion)에 응답하여, DATA의 비트를 그이 메모리내로 시프트한다. 시프트 레지스터(60)는 데이터 패킷내의 목적 어드레스의 사이즈에 대응하는 48 비트(6 바이트)를 홀드(hold)한다. 시프트 레지스터(60)내에 저장된 비트는 48 비트 와이드(wide) 출력상에 출력된다.
AND 게이트(78)의 입력은 이들의 비트를 수신하여, 출력 비트가 방송 어드레스(모두 1임)를 나타내는 지를 체크한다. AND 게이트(78)의 출력은 BROADCAST 신호이다. 시프트 레지스터(60)가 방송 어드레스를 저장할 시에, AND 게이트(78)는 BROADCAST 신호를 어서트한다. 시프트 레지스터(60)내의 저장된 어드레스의 최하위 비트는 MULTICAST 신호를 제공하는 데 이용된다. 시프트 레지스터(60)가 멀티캐스트 어드레스를 저장할 시에 (목적 어드레스의 최하위 비트는 1임), 시프트 레지스터(60)는 MULTICAST 신호 M-BIT를 저장한다.
어드레스 비교 회로(65)는 제어기(55) 및 시프트 레지스터(60)에 결합된다. 어드레스 비교 회로(65)는 하나 이상의 어드레스를 하나 이상의 출력 포트와 관련시킨 관련(associative) 메모리이다. 양호한 실시예의 어드레스 비교 회로(65)는 양호한 원시 어드레스 비교(PSAC(x)) 출력 라인의 n수, 최종 원시 어드레스 비교(LSAC(x)) 출력 라인의 n수 및, 선택적 어드레스 비교(AAC(y)) 출력 라인의 z수를 포함하는 데, 여기서, x=0 내지 n-1, y=0 내지 z-1이다. 양호한 실시예에서, 다른 구성이 다른 수를 사용할 수 있을지라도, n=16, z=32이다.
각 출력 포트에 대응하는 하나의 PSAC(x) 및 하나의 LSAC(x) 출력 라인이 있다. 각각의 AAC(x) 출력 라인은 소정의 포트 또는 포트의 조합으로 맵(map)될 수 있다. COMPARE가 어서트될 시에, 어드레스 비교 회로(65)는 시프트 레지스터(60)로 부터의 48 비트 출력을 메모리내에 저장된 어드레스와 비교한다. 각 매치를 위해, 어드레스 비교 회로(65)는 시프트 레지스터(60)의 출력을 매치하는 관련된 어드레스를 가진 출력 라인에 대해 출력 라인에서의 비교 신호를 어서트한다. 출력 라인의 0 내지 무한대(all)의 소정의 수는 비교후에 어서트될 수 있다. 어드레스 비교 회로(65)의 구조 및 동작에 관한 부가적인 상세 사항은 포함된 참조물 및 아래 설명에서 기술된다.
각 프로그램 가능한 디스럽트 제어기(70x)는 제어기(55), 시프트 레지스터(60), 어드레스 비교 회로(65), 레지스터 뱅크(76), AND 게이트(78) 및 매치 검출기(82)에 결합된다. 각 디스럽트 제어기(70x)는 하나의 PSAC 신호(PSAC(x)) 및 대응하는 하나의 LSAC 신호(LSAC(x)), 모든 AAC 신호, 포트 x와 관련된 레지스터 뱅크(76)로 부터의 모든 인에이블 신호, 매치 검출기(82)로 부터의 !MATCH 신호, BROADCAST 신호, MULTICAST 신호(M-BIT), 제어기(55)로 부터의 ADDR_1 신호 및 ADD_2 신호를 수신한다. 이런 각종 신호의 조합의 어서션에 응답하여, 디스럽트 제어기(70x)는 DISRUPT SELECT(x) 신호를 HIGH 또는 LOW 중 어느 하나로 구동시킨다.
디스럽트 제어기(70x)는 아래에 따라 DISRUPT SELECT(x)를 구동시킨다.
보안기능을 기술하기 전에, 모든 보안 관련 레지스터의 명명법을 정의하기로 한다.
AA(n) - 제 n 할당가능 어드레스의 값 (예를 들어, 목적 어드레스에 대한 48 비 트)
AAE(n) - 제 n AA 포트 인에이블 벡터의 값, 여기서 AAE(n,p)는 포트 p에 대응하는 비트임.
LAS(p) - 포트 p에 대한 최종 원시 어드레스의 값. (48 비트)
LSAE - LSA 포트 인에이블 벡터의 값, 여기서 LSAE(p)는 포트 p에 대응하는 비트 임.
PSA(p) - 포트 p에 대한 최종 원시 어드레스의 값. (48 비트)
PSAE - PSA 포트 인에이블 벡터의 값, 여기서 PSAE(p)는 포트 p에 대응하는 비트 임.
ENA - 디스럽트 함수 인에이블 벡터의 값, 여기서 ENA(p)는 포트 p에 대응하는 비트임.
MULT - 패스 온(pass on) 멀티캐스트 인에이블 벡터의 값, 여기서 MULT(p)는 포트 p에 대응하는 비트임.
NMANT - 패스 온 노 매치 인에이블 벡터의 값, 여기서 NMAT(p)는 포트 p에 대응하 는 비트임.
DLY - 디스럽트 함수 인에이블 벡터의 지연 값, 여기서 DLY(p)는 포트 p에 대응 하는 비트임.
DA - 유입(incoming) 목적 어드레스, DA는 소정의 48 비트 값일 수 있다. DA의 모든 비트=1일 경우, DA는 방송 어드레스라 부른다. DA의 최하위 비트=1일 경우, DA는 멀티캐스트 어드레스라 부른다.
DA를 제외한 모든 레지스터는 사용자에 의해 프로그램 가능하다.
주해: 모든 인에이블 비트는 아래 기술을 위해 능동 HIGH (1=인에이블)로 가정한다.
ADDR_1 - DA가 완전히 재전송될 때까지 HIGH로 어서트됨.
ADDR_2 - SA가 완전히 재전송될 때까지 HIGH로 어서트됨.
포트에 대한 보안을 유지하기 위하여, 포트 p는 아래 조건중 최소한 하나가 일어나지 않을 경우에 디스럽트되는 것으로 추정된다.
1) ENA(p)는 디스에이블된다.
패킷은 디스럽트 기능이 디스에이블될 경우에 포트 p상에서 디스럽트되지 않는다.
2) DA = 방송 어드레스
방송 어드레스 가진 패킷이 정의(definition)에 의해 모든 국으로 전송되어야 하므로, 디스럽트는 일어나지 않는다.
3) LSAE(p) = 인에이블된 AND LSA(p) = DA.
패킷은 패킷이 포트에 접속된 국으로 어드레스되는 경우에 포트상에서 디스럽트되지 않는다. MATCH는 이런 조건이 일어날 경우의 매치이다.
4) PSAE(p) = 인에이블된 AND PSA(p) = DA.
패킷은 패킷이 포트에 접속된 국으로 어드레스되는 경우에 포트상에서 디스럽트되지 않는다. MATCH는 이런 조건이 일어날 경우의 매치이다.
5) AAE(n,p) = 인에이블된 AND AA(n) = 최소한 1의 n에 대한 DA.
패킷은 패킷이 포트에 접속된 국으로 어드레스되는 경우에 포트상에서 디스럽트되지 않는다. MATCH는 이런 조건이 일어날 경우의 매치이다.
이런 조건의 함축 의미는 AA 레지스터를 효율적으로 이용하는 중요한 요소를 뜻한다. 첫째로, 다수의 n에 대한 AAE(n,p)를 인에이블함으로써, 할당가능한 어드레스 레지스터(양호한 실시예에서는 32개)에서는 주어진 포트에 대한 SAs 모두 할당할 수 있다. 이는 AA가 주어진 포트에 동적으로 할당되게 하며, 상기 포트는 그에 부착된 많은 국을 가질 수 있다. 둘째로, 다수의 p에 대한 AAE(n,p)를 인에이블함으로써, AA가 다중 포트와 공유할 수 있다. 이는 멀티캐스트 어드레스가 단지 1의 AA만을 이용할 동안 많은 포트에 할당되게 한다.
6) MULT(p) = 인에이블된 AND DA = 멀티캐스트 어드레스.
때때로, 멀티캐스트 어드레스가 검출될 경우에 포트를 디스럽트하지 않는 것이 바람직하다. 이런 기능은 사용자가 어느 멀티캐스트 어드레스로 AA, LSA(p) 또는 PSA(p)를 프로그램하지 않고 멀티캐스트 변경되지 않게 모든 패킷을 통과시킬 선택사항을 갖도록 제공된다.
7) NMAT(p) = 인에이블된 AND MATCH! = 매치
수신된 패킷의 DA와, 인에이블되는 AA, LSA 및 PSA의 모두 사이에서 노 미치가 있을 경우, 포트 p는 디스에이블되지 않는다. 이런 기능은 포트에 접속된 어느 국 어드레스로 AA, LSA(p) 또는 PSA(p)를 프로그램하지 않고 변경되지 않은 패킷을 선택적으로 통과시키게 한다. 이런 기능은 다수의 국에 접속된 허브(hub)의 보안 포트를 제공하는 데에 지극히 유용하며, 상기 포트에 부착된 국의 다른 허브 또는 어드레스는 공지되어 있지 않다. 이런 특성에 대한 근거로서, 노 매치가 포트에 대한 어느 AA, LSA 및 PSA에서 발견되고, DA가 알려지며, DA가 타당한 어드레스인 것으로 추정할 경우, 패킷은 최소한 하나의 포트로 진행해야 하며, 여기서 국 어드레스는 알려지지 않고, AA, LSA 및 PSA에서 완전하게 지정되지 않는다. (이런 특성의 반대를 고려하는 것이 도움이 될 수 있다. 환언하면, DA가 어느 AA, LSR 또는 PSA를 매치할 경우, 중계기 내에서 물리적 포트로 예정되어 있어, 다른 포트로 중계될 수 없다). 어드레스 비교 회로내에 저장된 SA는 수신된 패킷의 DA에 매치(또는 비교)된다. 환언하면, 포트상에 수신된 SA는 저장되어, 다른 패킷에서 수신된 DA에 비교된다.
8) ADDR_1 = High
목적 어드레스는 미스-어드레싱(mis-addressing)을 방지하도록 결코 디스럽트되지 않는다. (즉, 디스럽트된 목적 어드레스는 실제로 망상의 소자의 어드레스와 매치한다).
9) DLY(p) = 인에이블된 AND ADD_2 = High
원시 어드레스 필드는 DLY(p)가 인에이블되고, 프레임의 ADDR_2의 모든 비트 이하가 중계되었을 경우에 포트 p상에서 디스럽트되지 않는다.
요약하면, 디스럽트 기능은 아래일 경우에 포트 p상에서 디스에이블된다.
(ENA(p) = 디스에이블된) OR
(DA = 방송 어드레스) OR
(LSAE(p) = 인에이블된 AND LSA(p) = DA) OR
(PSAE(p) = 인에이블된 AND PSA(p) = DA) OR
(AAE(n,p) = 인에이블된 AND AA(n) = 최소한 1의 n에 대한 DA) OR
(MULT(p) = 인에이블된 AND DA = 멀티캐스트 어드레스) OR
(NMAT(p) = 인에이블된 AND MATCH! = 매치) OR
(ADDR_1 = High) OR (DLY(p) = 인에이블된 AND ADDR_2 = High)
여기서 MATCH = 아래 경우의 매치
(LSAE(q) = 인에이블된 AND LSA(q) = 최소한 1의 q에 대한 DA) OR
(PSAE(q) = 인에이블된 AND PSA(q) = 최소한 1의 q에 대한 DA) OR
(AAE(n,q) = 인에이블된 AND AA(q) = n,q중 최소한 하나의 치환을 위한 DA)
이를 기술한 동일한 방식은 아래 경우에만 포트 p상에서 디스에이블된다.
(ENA(p) = 인에이블된) AND
(DA = 방송 어드레스) AND
(LSAE(p) = 디스에이블된 OR LSA(p)! = DA) AND
(PSAE(p) = 디스에이블된 OR PSA(p)! = DA) AND
(AAE(n,p) = 디스에이블된 OR AA(n)! = 모든 n에 대한 DA) AND
(MULT(p) = 디스에이블된 OR DA! = 멀티캐스트 어드레스) AND
NMAT(p) = 디스에이블된 OR MATCH = 매치) AND
(ADDR_1 = Low) AND (DLY(p) = 디스에이블된 OR ADDR_2 = Low)
본 구현에서, AA, LSA 및 PSA의 모든 48 비트는 DA에 비교된다. 더욱 일반적으로 것을 행하기 위하여, 각 AA, LSA 및 PSA에 대해 대응하는 48 비트 마스크 레지스터를 가산할 수 있다. AA, LSA 및 PSA의 단지 마스크되지 않은 비트는 DA에 비교된다. 조건 6은 DA에서 멀티캐스트 비트 M-BIT를 제외한 모든 비트를 마스크하는 마스킹의 특정 경우이다.
다중-중계기 허브
중계기 칩마다 단지 유한수의 포트가 제공될 경우, 다중 중계기 칩은 단일 칩상의 제한된 포트이상의 많은 포트를 가진 단일 중계기를 형성하도록 함께 접속될 수 있다. 양호한 실시예에서, 포함된 특허에 따른 확장 버스는 이런 기능을 제공한다. 앞선 기술이 하나의 중계기 칩에 의한 디스럽트 기능과 동일하지만, 디스럽트 기능은 원칙상 다중 중계기 칩에 걸쳐 스케일(scale) 가능하다. 환언하면, 다중 중계기 칩에 걸친 회로를 약간의 제한으로 분배할 수 있다. 아래와 같이 기술하기 위하여, 3개의 중계기 칩이 함께 접속되고, 각 칩이 16개의 포트를 갖는 것으로 추정할 수 있다. 이는 3세트의 AA, AAE, LSA, LSAE, PSA, PSAE, ENA, MULT 및 NMAT를 가진 동기 확장 버스를 이용하여 48 포트 논리 중계기를 형성한다. 게다가, 각 칩은 32 할당 가능 어드레스를 갖는 것으로 추정된다.
포트를 디스럽트하지 않는 규칙은 아래의 것을 제외하고는 전술된 바와 같다.
조건 5는 AAE(n,p) = 인에이블된 AND AA(n) = p를 포함한 중계기내의 최소한 1의 n에 대한 DA를 판독한다. 중계기 칩상의 AA의 각 세트는 한 중계기의 AA를 다른 중계기의 포트에 맵하는 것이 불가능하므로 동일 중계기상의 포트에만 맵될 수 있다. 이의 소구분은 다음과 같다.
1) 포트마다 32개 이상의 어드레스를 명백히 맵하는 것이 불가능하다.
2) 서로 다른 중계기상의 포트에 맵하는 하나의 멀티캐스트 어드레스를 홀드할 하나의 AA를 이용하는 것이 불가능하다. 이런 경우에, 멀티캐스트 어드레스는 멀티캐스트 어드레스가 맵하는 포트를 포함하는 각 중계기내의 하나의 AA에 맵되어야 한다.
조건 1, 2, 3, 4, 6, 7, 8 및 9은 매 포트에 기초를 두고, 단일 중계기 경우와 동일하게 기능을 다한다.
다중 중계기 경우에, MATCH = 아래 경우의 매치
(LSAE(q) = 인에이블된 AND LSA(q) = 어느 중계기 칩상의 최소한 1의 q에 대한 DA) OR
(PSAE(q) = 인에이블된 AND PSA(q) = 어느 중계기 칩상의 최소한 1의 q에 대한 DA) OR
(AAE(n,q) = 인에이블된 AND AA(n) = 어느 중계기 칩상의 n,q의 최소한 하나의 치 환을 위한 DA)
여기서는 q = 포트수임
패킷은 항상 확장 포트에 걸쳐 디스럽트되지 않은 중계기 칩 간에 통과되고, 각 중계기는 멀티캐스트 및 방송을 독립적으로 검출한다. 확장 포트는 단지 중계기 칩 사이에 있고, 망에 노출되지 않아, 디스럽트되지 않은 확장 포트에 걸친 패킷의 통과는 소정의 보안문제를 내지 않는다. 각 중계기 칩은 또한 그 자체 세트의 보안 관련 레지스터를 갖는다. 통과되도록 남아 있는 유일한 것은 매치가 중계기 칩에서 일어나는 지를 나타내는 신호이다. 매치가 OR 조건이기 때문에, 와이어된 OR 신호(!MATCH)는 중계기 칩 중에서 통과될 수 있다(도 4).
AA, LSA 및 PSA는 어드레스 비교 회로(65)의 CAMREAD, CAMWRITE, CAMADR 및 CAMDATA를 통해 어드레스 비교 회로(65)로 판독/기록될 수 있다. 이런 어드레스 비교 회로(65)는 마스킹 레지스터를 포함할 수 있거나 포함할 수 없을 수 있다. 수신된 DA는 48 비트 시프트 레지스터(60)내에 적재된다. 일단 DA가 시프트 레지스터내에 적재되면, 시프트 레지스터내의 값은 어드레스 비교 회로(65)내에 저장된 모든 어드레스에 대해 비교된다. 이런 비교의 결과는 PSAC, LSAC 및 AAC 신호를 통해 어드레스 비교 회로(65)에서 전송된다. 하이(high)는 비교의 결과가 동일하다는 것을 타나탠다. 시프트 레지스터의 값이 모두 1일 경우, BROADCAST 신호는 DA가 방송 어드레스임을 나타내는 하이로 세트된다. 시프트 레지스터로 시프트되는 제 1 비트가 하이일 경우, MULTICAST 신호는 DA가 멀티캐스트 어드레스임을 나타내는 하이로 세트된다.
인에이블 레지스터 뱅크는 모든 인에이블 레지스터 DLY, ENA, PSAE, LSAE, MULT, NMAT 및 AAE를 포함한다. 이런 레지스터는 ENAREAD, ENAWRITE, ENAADR 및 ENADATA를 통해 판독/기록될 수 있다.
어드레스 비교 회로(65), 시프트 레지스터 및 인에이블 레지스터 뱅크로 부터의 신호는 디스럽트 제어기(70x)로 진행한다. 도 7은 디스럽트 제어기(70x)의 양호한 실시예를 설명한 것이다. 각 포트에 대해 하나의 디스럽트 제어기(70x)가 있다. MAT(x)는 DA가 소정의 인에이블된 AA, LSA(x) 및 PSA(x)에 매치함을 나타내다. 모든 MAT(x)는 도 8에 도시된 바와 같이 개방 드레인 구동기가 MATCH 신호를 어서트하게 인에이블하도록 OR된다. DISRUPT SELECT(x)는 (도시되지 않은) 포트 x의 출력을 디스럽트하는 MUX(80)로 진행한다. DISRUPT SELECT(x)가 하이일 시에, 디스럽트는 인에이블된다.
디스럽터(75x)는 포트(90x)가 DATA를 재전송할 수 없을 때마다, 즉 특성을 디스럽트하는 데이터 패킷이 활성화될 때마다 DATA 대신에 변경된 데이터를 출력 포트(90x)에 제공한다. 구현되는 바와 같이, 디스럽터(75x)는 간단한 멀티바이브레이터를 구현함으로써 교번적인 1 및 0을 출력시킨다. 양호한 실시예에서, 디스럽터(75x)는 출력 포트(90x)에 결합된 플립-플롭의 입력 및, 플립-플릅의 출력에 결합된 인버터를 갖는다. 인버터의 출력은 디스럽터(75x)의 출력이다.
멀티플렉서(80x)는 2개의 입력, 즉 디스럽터(75x)의 출력에 결합된 0 입력 및, 중계기 전치부(50)로 부터의 DATA에 결합된 1입력을 포함한다. 멀티플렉서(80x)는 하나의 입력을 출력 포트(90x)로 루트할 SELECT 입력에서 제공된 DISRUPT SELECT(x)에 응답한다. DISRUPT SELECT(x)가 HIGH로 구동될 시에, 멀티플렉서(80x)는 변경된 데이터를 디스럽터(75x)에서 출력 포트(90x)로 루트한다. DISRUPT SELECT(x)가 LOW로 구동될 시에, 멀티플렉서(80x)는 DATA를 출력 포트(90x)로 루트한다.
레지스터 뱅크(76)는 BROADCAST 신호, MULTICAST 신호, ADDR_2 신호 등의 어서션에 의한 디스럽트의 여부와 같은 각종 디스럽션 제어 조건 신호중 하나에 대응하는 인에이블 신호를 제공하는 (도시되지 않은) 다수의 메모리 장소를 포함한다.
양호한 실시예에서, 각 포트와 관련되어, 포트에 대한 보안을 인에이블하고 (ENA 신호), PSA와 매치에 의한 넌-디스럽션(non-disruption)을 인에이블하며 (PSAE 신호), LSA와 매치에 의한 넌-디스럽션을 인에이블하며 (LSAE 신호), 소정의 AA와 매치에 의한 넌-디스럽션을 인에이블하며 (AAEx 신호), 멀티캐스트 어드레스의 검출에 의한 넌-디스럽션을 인에이블하며(MULT 신호), 특정 포트와 관련된 PSA, LSA 또는 AAx 신호간에 노 매치 검출에 의한 넌-디스럽션을 인에이블하며 (NMAT 신호), 그리고 특정 포트로 부터의 넌-디스럽션이 ADDR_2를 전송하였을 때까지 지연될 주기 동안 넌-디스럽션을 인에이블하는 인에이블 신호가 있다.
한 양호한 실시예는 특정 인에이블 조건과 관련된 인에이블 워드(word)내의 비트 값에 의한 각 인에이블 신호를 발생시킨다. 이런 인에이블 워드는 포트의 수와 동일한 비트 위치의 수를 가지며, 특정 비트 위치는 특정 포트에 맵되고, 대응한다. 환언하면, 16개의 포트를 구현하기 위하여, 각 인에이블 워드는 길이가 16비트이다. 비트 위치 0는 양호하게도 포트 0에 대응하고, 비트 위치 1는 포트 1에 대응한다. 따라서, 디스럽트 제어기(70x)에 대한 보안 특성은 매 포트를 기초로 제어 가능하다.
레지스터 뱅크(76)내의 인에이블 값은 MPI(84)에 의해 제공된 데이터 및 제어 신호에 응답하여 기록된다. MPI(84)는 MP_DATA 버스(34)를 통해 (도 4에 도시된) MPU(28)와 통신한다. MPI(84)는 통상적인 방식으로 데이터를 판독하여 레지스터 뱅크(76)에 기록한다. 예를 들면, 인에이블 판독 신호, 인에이블 기록 신호, 인에이블 데이터 버스 및 인에이블 어드레스 버스는 인에이블 워드가 레지스터 뱅크(76)에 기록되게 한다.
게다가, 어드레스는 MPI(84)로 부터의 데이터 및 신호의 이용으로 어드레스 비교 회로(65)에 기록된다. 예를 들면, 이런 신호는 판독 신호, 기록 신호, 다수의 데이터 신호 및 다수의 어드레스 신호를 포함할 수 있다. 판독 및 메모리 배열로의 기록은 통상적으로 이루어져 더 이상 기술하지 않거나, 그런 배열내에 이용된 통상적인 메모리 셀의 구성 및 동작도 기술하지 않기로 한다.
매치 검출기(82)는, 어드레스 비교 회로(65)내에 저장된 소정의 어드레스가 어드레스를 위해 활성화된 어드레스 비교를 가진 포트에서 유입 목적 어드레스에 대응하는 지를 단일 논리 중계기로서 상호 접속된 소정의 이산 중계기 패키지(25)에 나타내도록 동작한다. 각 디스럽트 제어기(70x)는 (PSAC(x), LSAC(x) 또는 소정의 AACi(x)와 같은) 어드레스 비교 신호 및 그의 관련된 인에이블 신호의 논리 곱의 결과에 의존하는 MAT(x) 신호에 대한 상태를 결정한다. 소정의 어드레스 비교 신호가 포트에 대해 특정 신호를 인에이블했을 시에 어서트되는 경우, 디스럽트 제어기(70x)는 MAT(x)를 어서트한다. 매치 검출기(82)는 각 포트에 대한 MAT(x) 신호의 모두를 수신하고 또한 도 8에 도시된 노_매치 버스(32)로 부터의 !MATCH 신호도 수신하며, 소정의 MAT(x) 신호를 어서트할 경우에 !MATCH를 어서트한다. 어느 이산 중계기 패키지(25)내의 MAT(x)의 소정의 어서션은 다른 이산 중계기 패키지(25)내의 매치 검출기(82)에 의해 검출된다. 매치 검출기(25)는 또한 DISRUPT SELECT(x)신호를 제어하는 데에 이용하기 위해 !MATCH 신호를 각 디스럽트 제어기(70x)에 제공한다.
동작에서, 중계기 전치부(50)는 입력 포트(85i)중 하나에서 데이터 패킷을 수신한다. 중계기 전치부(50)는 데이터 패킷내에 포함된 직렬 비트로 DATA를 구동하고, DATA가 타당할 시에 ENABLE를 어서트한다. 프레임 디리미터의 개시에 연이은 48 비트는 목적 어드레스 필드를 구성한다.
피킷의 시점에서, 두 ADDR_1 및 ADD_2는 어서트되고, 제어기(55)는 DATA의 유입 비트를 카운트한다. SHIFT_ENABLE는 목적 어드레스가 시프트 레지스터(60)로 시프트될 때까지 어서트되고, 어느 지점에서 시프트 레지스터(60)는 SHIFT_ENABLE를 디어서트함으로써 고정된다. 예정된 지연후에, 일단 바람직한 필드(예를 들어, 목적 어드레스)가 시프트 레지스터(60)내로 고정되었으면, 제어기(55)는 ADDR_1을 디어서트한다. 제 2 필드(예를 들어, 원시 어드레스)가 DATA 출력 라인상에서 구동되었을 때까지 제어기(55)는 ADDR_2를 어서트한다. SHIFT_ENABLE를 디어서트하고, 목적 어드레스를 시프트 레지스터(60)내에 고정한 후에 제어기(55)는 COMPARE를 어서트한다.
COMPARE의 어서션으로, 어드레스 비교 회로(65)가 시프트 레지스터(60)내에 고정된 목적 어드레스를 다수의 각 저장된 어드레스와 비교한다. 이런 저장된 어드레스는 보안 중계기(20)의 출력 포트에 결합된 (도 3에 도시된) 각종 관련된 종단 사용자국(15)에 대응한다. 환언하면, 어드레스 ADDRESSx를 가지고, 출력 포트(90x)에 결합된 특정 종단 사용자국(15x)은 PORT(90x)와 관련된 비교 회로(65)의 특정 메모리내에 저장된 ADDRESSx를 갖는다. 시프트 레지스터(60)내에 저장된 목적 어드레스가 모든 저장된 어드레스와 비교될 시에, 하나 이상의 어드레스 비교 신호는 매치가 발견될 시에 어서트된다. PSAC(x) 및/또는 LSAC(x)는 매치 관련 저장된 어드레스 또는 하나의 AAC(x) 신호를 가진 각 포트(90x)에 대해 어서트된다.
지연 디스럽트 제어기(70x)는 ADDR_1 신호, ADDR_2 신호, BROADCAST 및 MULTICAST 신호, 인에이블 신호, !MATCH 신호, PSAC(x) 및 LSAC(x) 신호와, 모든 AAC(x) 신호를 수신한다. 전술된 바와 같이, 디스럽트 제어기(70x)가 구성되는 방법에 따라, 디스럽트 제어기(70x)는 각종 신호에 따라 DISRUPT SELECT(x) HIGH 또는 LOW를 구동시켜, DATA 또는 MODIFIED DATA를 제각기 출력 포트(90x)로 루트시킨다. 디스럽트 제어기(70x)는 포함된 특허 출원에서와 동일한 특정 보안 조건을 충족하도록 쉽게 구성 가능하다.
디스럽트 제어기(70x)는 전술된 논리식을 충족하고, 입력 신호의 값에 따라 DISRUPT SELECT(x) HIGH 또는 LOW를 어서트한다.
도 6은 도 5에 도시된 제어기(55)의 상세 블록 다이어그램이다. 제어기(55)는 개시 프레임 검출기(SFD)(100), 카운터(105), 제 1 비교 회로(110), 제 2 비교 회로(115), 인버터(120) 및 지연 소자(125)를 포함한다. DATA 및 ENABLE 신호는 SFD(100)내로 입력된다. SFD(100)는 프레임 디리미터의 개시를 위해 DATA를 모니터한다. 프레임 디리미터의 개시가 검출된 후에, SFD(100)는 SEE_SFD 신호를 어서트한다. SEE_SFD 신호는 SFD가 검출된 후에 어서트되고, ENABLE가 어서트되어 있는 한 어서트 상태로 되어 있다.
카운터(105)는 SFD(100)에 결합되고, 한번 비트 시간마다 전체 카운트를 중대시키도록 SEE_SFD 신호에 응답한다. 따라서, 카운터(105)는 프레임 디리미터의 개시 후에 DATA의 각 비트를 카운트한다. 카운터(105)의 전체 카운트는 카운트 버스(130)을 구성하는 출력 라인상에서 출력된다.
제 1 비교 회로(110) 및 제 2 비교 회로(115)는 카운트 버스(130)에 결합되어, 제각기 카운터(105)의 전체 카운트를 모니터한다. 초기에, SHIFT_ENABLE는 HIGH이다. 카운터(105)가 48로 카운트할 시에, 제 1 비교 회로(110)는 SHIFT_ENABLE 신호를 LOW로 디어서트한다. 인버터(120)의 입력은 비교 회로(110)의 출력에 결합된다. 인버터(120)의 출력은 COMPARE 신호를 구동한다. 지연 소자(125)의 입력은 또한 제 1 비교 회로(110)의 출력에 결합된다. 지연 소자(125)의 출력은 ADDR_1 신호이다. 지연 소자(125)에 의해 세트된 지연의 정도는 비교 처리 과정을 완료하게 하고, 어드레스 비교 신호가 상태를 변화시키기 전에 어서트되게 한다. 양호한 실시예에서, 카운터(105)가 바람직한 제 1 필드를 수신할 충분한 유입 비트로 카운트할 때까지 (목적 어드레스의 경우에는 48임), 제어기(55)는 SHIFT_ENABLE 및 ADDR_1을 어서트한다.
카운터(105)가 SFD후에 (원시 어드레스에 대응하는 ADDR_2에 대한) 96 비트를 카운트할 시에, 제 2 비교 회로(115)는 어드레스 비교 신호(예를 들어, PSAC(x) 신호)와 매치에 의한 넌-디스럽션을 인에이블하는 ADDR_2를 디어서트한다. ADDR_2는 초기에 HIGH이고, 바람직한 제 2 필드가 DATA 신호로 전송된 후에는 LOW로 변이한다. 양호한 실시예가 예를 들어 카운터를 조정함으로써 목적 어드레스 필드 및 원시 어드레스 필드를 사용하지만, 다른 필드를 선택할 수 있다. 예를 들면, 선택적인 구현에서, 항상 DA 및 SA를 통과시키지만, 선택적으로 데이터 필드를 지연시키는 것이 바람직할 수 있다. 카운터 비교값의 적당한 조정으로, 선택적 실시예가 간단히 구현될 수 있다.
도 7은 디스럽트 제어기(70x)에 대한 양호한 기능적 실시예를 설명한 블록 다이어그램이다. 디스럽트 제어기(70)는 숫자상 AAC 출력 라인(Y)의 합 플러스 고정 어드레스 라인의 수(여기서 둘중 하나는 LSA에 대한 것이고, 다른 하나는 PSA에 대한 것임)와 동일한 다수의 어드레스 비교 이중-입력 AND 게이트 F를 포함한다. 따라서, 양호한 실시예에 따라 각 디스럽트 제어기(70x)에 대한 Y+Z (양호한 실시예에서는 Y=32) 어드레스 비교 신호(예를 들어, LSAC(x))를 수신하고, 다른 입력에서는 관련 인에이블 신호(예를 들어, LSAE(x))를 수신한다. 어드레스 비교 AND 게이트 F의 출력은 Y+Z 입력을 가진 MAT(x) OR 게이트 G1의 출력은 도 5에 도시된 매치 검출기(82) 및 디스럽트 NOR 게이트 G2의 한 입력에 제공된 MAT(x) 신호이다.
디스럽트 NOR 게이트 G2는 이산 중계기 패키지(25)에 의해 모니터된 보안 조건과 동일한 많은 입력을 갖고 있는 데, 양호한 실시예에서는 디스럽트 NOR 게이트 G2에 대해 7개의 입력이 있다. 디스럽트 NOR 게이트 G2의 출력은 멀티플렉서(80x)에 제공된 DISRUPT SELECT(x) 신호이다.
입력 조건에 관하여 전술된 바와 같이, MAT(x)는 디스럽트 NOR 게이트 G2의 제1 입력에서 제공된다. 도 5에 도시된 AND 게이트(78)로 부터의 BROADCAST 신호는 NOR 게이트 G2의 제 2 입력내로 입력된다. 이중 입력 멀티캐스트 AND 게이트 G3는 한 입력에서 MULTICAST 신호를 수신하고, 다른 입력에서는 포트 x (MULT(x))에 대한 멀티캐스트 인에이블 신호를 수신한다. AND 게이트 G3의 출력은 NOR 게이트 G2의 제 3 입력에 제공된다. ADDR_1은 NOR 게이트 G2의 제 4 입력에 제공된다.
이중 입력 매치 AND 게이트 G4는 한 입력에서 도 5에 도시된 매치 검출기(82)로 부터 !MATCH 신호를 수신하고, 다른 입력에서는 포트 x (NMAT(x))에 대한 노 매치 인에이블 신호를 수신한다. AND 게이트 G4의 출력은 NOR 게이트 G2의 제 5 입력에 제공된다. 인버터 G5는 포트 x (ENA(x))에 대한 보안 인에이블 신호를 수신한다. 인버터 G5의 출력은 NOR 게이트 G2의 제 6 입력에 결합된다. 이중 입력 지연 AND 게이트 G6는 한 입력에서 도 5에 도시된 제어기(55)로 부터 ADDR_2를 수신하고, 제 2 입력(DLY(x))에서는 포트 x에 대한 지연 인에이블 신호를 수신한다. AND 게이트 G6의 출력은 NOR 게이트 G2의 제 7 입력에 제공된다.
동작에서, 디스럽트 NOR 게이트 G2는 제 7 입력 중 하나가 어서트되지 않을 경우 DISRUPT SELET(x)를 어서트한다. DISRUPT SELECT(x)의 어서션으로 멀티플렉서(80x)가 디스럽트된 데이터를 출력하게 한다. NOR 게이트 G2의 하나 이상의 입력의 어서션으로 DISRUPT SELECT(x)가 디어서트되어, 변경되지 않은 데이터 패킷을 전송시킨다.
도 8은 도 5에 도시된 3개의 매치 검출기(82)의 개략적인 블록 다이어그램이다. 매치 검출기(82)는 양호한 실시예에서 포트마다 하나의 입력을 가져, MAT(x) 신호 (x=1 내지 n-1)를 수신하는 다중 입력 OR 게이트(G10)를 포함한다. OR 게이트(G10)의 출력은 기준 전압(예를 들어, 접지) 및 !MATCH 데이터 버스(32) 사이에 결합된 n-채널 MOSFET Q1의 게이트에 결합된다. 어서트될 소정의 MAT(x) 신호없이, MOSFET Q1은 오프상태에 있고, !MATCH는 HIGH상태에 있다. 어느 중계기 패키지(25)의 어느 MAT(x)의 어서션으로, 적당한 매치 검출기(82)의 MOSFET Q1이 턴 온되고, !MATCH(LOW)가 어서트된다. !MATCH 신호는 또한 디스럽트 제어기(70x)에 제공된다.
도 9는 레지스터 뱅크(76), 모든 포트에 대한 디스럽트 제어기(70x) 및, 간단한 셀 배열(200)내로의 매치 검출기(82)를 구현한 중계기 패키지(25)의 양호한 구현의 표시도이다. 중계기 패키지(25)는 또한 시프트 레지스터(60), 어드레스 저장 매트릭스(205), 제 1 어드레스 디코더(210) 및 제 2 어드레스 디코더(215)를 포함한다. 완성을 위해, 도 4 및 8에 도시된 외부 저항 R은 또한 도 9에 도시된다. 어드레스 저장 매트릭스(205) 및 어드레스 디코더(210)는 함께 도 5에 도시된 어드레스 비교 회로(65)를 제공한다.
이런 대표적인 양호한 실시예에서, 어드레스 저장 매트릭스(205)는 포트의 수 플러스 교번(alternate) 어드레스 저장 장소의 전체수의 두배 플러스 하나의 부가적인 레지스터(220)와 같은 다수의 레지스터(220)를 포함한다. 어드레스 저장 매트릭스(205)는 32개의 교번 어드레스 저장 장소를 가진 16 포트 중계기에 대한 65 레지스터(220)를 포함한다. 따라서, 각 PSA(p)용 레지스터(220)과, 각 교번 어드레스 저장 장소 AA(Y)용 레지스터가 있다. 시프트 레지스터(60)에서 비교될 어드레스가 48 비트 어드레스이기 때문에, 각 레지스터(220)는 양호한 실시예에서 48 비트 레지스터이다. 부가적인 레지스터는 방송 어드레스에 대응할 등가의 모든 1을 저장하도록 하드와이어(hardwire)된다. 하드와이어된 1을 가진 상기 레지스터는 기능상 도 5에 도시된 AND 게이트(78)에 상응한다.
어드레스 디코더(215)와 조합된 셀 배열(200)은 디스럽트 제어기, 레지스터 뱅크 및 매치 검출기의 기능을 구현한다. 셀 배열(200)은 다수의 서로 다른형의 셀, 프로그램 가능한 셀(P), 인에이블 셀(E), 매치 셀(M) 및 엑스트라 셀(X)을 포함한다. 각 셀에 관한 상세 사항은 도 10에 대해 기술된다.
각 E 셀은 특정 포트에 대한 보안을 인에이블/디스에이블하는 하나의 ENA 레지스터를 포함한다. 각 P 셀은 DLY, MULT, NMAT, PSAE, LSAE 및 AAE 레지스터와 같은 각종 디스럽트 조건의 인에이블을 제어하는 데 이용된 프로그램 가능한 레지스터(양호하게는 단일 비트)를 포함한다.
이런 아키텍쳐는 쉽고 효율적으로 스케일할 수 있다. 셀 배열(200)의 각 열은 하나의 포트에 대응한다. P 셀의 전체 행은 각 교번 어드레스 레지스터(220)에 이용되고, 할당 가능한 어드레스 저장 레지스터의 수는 0 이상에서 변한다.
하나의 P 셀은 각 LSA 또는 PSA 레지스터(220)에 이용되는 데, 그 이유는 전술된 바와 같이 LSA 및 PSA 레지스터(220)가 단일 포트에 대응하도록 고정되기 때문이다. 레지스터(220)의 대응물을 특정 포트에 고정함으로써, 각 포트에 대한 비교 조건에 대응하는 P 셀이 대각선으로 배치된다. 다시 말하면, PSA 및 LSA 고정 어드레스가 구현되지 않을 시에, 이런 레지스터에 대응하는 P 셀은 제거될 수 있다. 고정 어드레스의 수가 증가할 경우 대각선으로 배치된 P 셀의 부가적인 세트를 가산할 수 있고, 동수의 고정 어드레스를 각 포트에 제공할 필요가 없다.
하나의 완전한 행의 P 셀, 하나의 행의 M 셀 및 하나의 X 셀은 다중 이산 중계기 패키지(25)로 부터 역 넌-매치(inverse non-match) 디스럽트 기능 또는 유사형의 조건 병합 (condition merging) 디스럽트 정보를 구현하는 데 이용된다. 역 넌-매치 디스럽트 기능 또는 유사한 기능을 포함하지 않는 실시예에 대해, 이들 행은 제거될 수 있다.
P 셀의 행은 멀티캐스트 패킷 기능상의 프로그램 가능한 넌-디스럽트를 구현하고, 하나의 행은 디스럽트 기능의 프로그램 가능한 지연을 구현한다. 이런 행의 어느 하나 또는 둘은 대응하는 기능이 사용되지 않을 경우에 제거될 수 있다.
E 셀의 하나의 행은 BROADCAST 어드레스상의 기본 인에이블/디스에이블 너 디스럽트 및, 제 1 필드(목적 어드레스)가 전송중일 동안의 넌 디스럽트를 구현한다. E 셀의 구성은 구현된 특정 기능에 따라 개별화(customize)할 수 있다.
기술된 실시예를 이용함으로서, 간단히 부가적인 자격(qualifying) 조건을 가산하거나 자격 조건을 변경할 수 있다. 자격 조건은 예를 들어 AAC(0), PSAC(3), ADDR_2 및 BROADCAST 신호를 나타내다. M 셀의 행 아래에 P 셀의 행을 가산함으로써, MATCH의 어서션 결정의 자격 조건이 포함된다. M 셀의 행위에 P 셀의 행을 가산함으로써, 이를 MATCH 결정에서 포함하지 않고 대응하는 자격 조건이 가산된다.
도 10은 도 9에 도시된 셀 배열(200)의 상세 배치도이다. 도 9 및 10에서 설명되는 바와 같이 셀 배열(200)의 구성은 선택된 셀 형의 간단한 어버트먼트(abutment)에 의해 개별화 가능한 셀 배열을 간단히 구성하게 한다. 도 10에서는 메모리(MEM) 저장 장소를 억세스, 판독 및 기록할 접속부(connectivity)를 본 발명의 양호한 실시예의 견지가 잘 알려진 RAM 셀 기술을 이용함에 따라 도시하지 않는다. 다른 구성은 서로 다른 유형으로 MEM 장소를 구현할 수 있다.
도 10에 도시된 셀 배열(200)은 2개의 교번 어드레스 비교 신호(AA(0) 및 AA(1)), 포트마다 1개의 고정 어드레스 비교 어드레스(PSAC(x)), 3개의 일반적인 자격 신호, 즉 ADDR_1, BROADCAST 및 !MATCH에 응답하여 ENA-형 특성을 포함하는 3개의 포트 중계기를 위해 구현된다.
양호한 실시예에서, P 셀은 인에이블 레지스터(300), 이중 입력 AND 게이트(305) 및 n-채널 MOSFET(310)를 포함한다. AND 게이트(305)의 한 입력은 인에이블 레지스터(300)로 부터의 출력을 수신하고, AND 게이트(305)의 다른 입력은 예를 들어 AAC(1)과 같은 자격 신호를 수신하도록 결합된다. AND 게이트(305)의 출력은 MOSFET(310)의 게이트에 결합된다. MOSFET(310)의 소스는 제 1 기준 전압에 결합되고, 드레인 단자는 특정 포트에 대응하는 열 라인에 결합된다. 이런 열 라인은 M 셀을 통해 저항 R1의 한 단자에 직간접적으로 결합된다. 저항 R1의 제 2 단자는 제 2 기준 전압(vdd)에 결합된다.
양호한 실시예의 M 셀은 인버터(320), 2개의 n-채널 MOSFET (325 및 330) 및 저항 R2을 포함한다. 저항 R2은 제 2 기준 전압에 결합된 하나의 단자 및, 인버터(320)의 입력에 결합된 제 2 단자를 갖고 있다. 또한, M 셀과 같은 열내와 M 셀 아래에 있는 P 셀의 MOSFET(310)의 드레인 단자는 인버터(320)의 입력에 결합된다. 인버터(320)의 출력은 R1의 결합된 드레인 및, 제 1 기준 전압 레벨에 결합된 소스를 가진 MOSFET(325)의 게이트에 결합된다. 인버터(320)의 출력은 또한 제 1 기준 전압에 결합된 소스를 가진 MOSFET(330)의 게이트에 결합된다. 각 M 셀의 MOSFET(330)의 드레인은 X 셀에 결합되는 행 라인에 결합된다.
X 셀은 저항 R3, 인버터(350) 및 n-채널 MOSFET(355)를 포함한다. 저항 R3의 한 단자는 제 2 기준 저압에 결합되고, 저항 R3의 제 2 단자는 인버터(350)의 입력에 결합된다. 인버터(350)의 출력은 MOSFET(355)의 게이트에 결합된다. MOSFET(355)의 소스는 제 1 기준 전압 레벨에 결합된다. MOSFET(355)의 드레인은 외부 저항 R 및 다른 이산 중계기 패키지의 다른 X 셀에 결합되어, !MATCH 신호를 제공한다. !MATCH 신호는 또한 M 셀의 행위의 P 셀의 행에 제공된 자격 조건 신호로서 이용된다.
실제 구현에서, 특정 구성에 따라 도시된 것보다 더 M 셀의 행위의 P 셀이 있을 수 있다. 최상부에서의 셀의 행은 E 셀이다. E 셀은 인에이블될 자격 조건의 형에 따라 서로 다른 형의 많은 인에이블 서브-셀 (예를 들어, Type 1 (T1), Type 2 (T2) 또는 Type 3 (T3)을 포함할 수 있다. 예를 들면, T1 서브-셀은 자격 신호를 수신하도록 결합된 게이트, 제 1 기준 전압에 결합된 소스 및, 열 라인의 최상부에서 저항 R1에 결합된 드레인을 가진 n-채널 MOSFET(360)를 갖고 있다. 대응하는 신호의 어서션에 의해 표시된 바와 같이 자격 조건이 존재할 경우, T1 서브-셀을 가진 특정 포트에 대한 디스럽션은 턴 오프된다.
T2 서브-셀은 n-채널 MOSFET(375)의 게이트에 결합된 반전 출력을 가진 인에이블 레지스터(370)를 갖고 있다. MOSFET(375)의 소스는 제 1 기준 전압에 결합되고, 드레인은 R1에 결합된다. MOSFET(375)의 제어부가 인에이블 레지스터(370) 내에 저장된 값에 의해 배타적으로 제어됨에 따라 T2 서브-셀과 관련된 자격 조건 신호가 없다. 양호한 실시예에서, T2 서브-셀은 어느 포트가 활성화된 보안 특성을 가질 수 있는 지를 선택하는 데 이용된다. 환언하면, 인에이블 레지스터(370) 내에 로우 값을 저장함으로써, 즉 특정 열에 대한 보안을 디스에이블함으로써, 포트는 데이터 패킷이 관련 포트로 부터 디스에이블되지 않게 하고, 디스럽트되지 않은 모든 패킷을 완전히 전송시킨다.
T3 서브-셀은 서브-셀, P 셀 및, 어느 열내의 M 셀의 다수의 출력에 결합된 제 1 단자를 가진 저항 R1을 포함한다. 저항 R1의 제 2 단자는 제 2 전압 기준 레벨에 결합된다. 또한, 한쌍의 직렬 결합 인버터는 저항 R1의 제 1 단자에 결합되고, T3 서브-셀내에 포함된다. 인버터의 쌍의 출력은 특정 열, 즉 포트에 대한 디스럽트 선택 신호이다.
동작에서, 저항 R1의 제 1 단자에 결합된 셀 및 서브-셀내에서 어느 MOSFET의 게이트에서의 신호의 어서션은 저항 R1이 T3 서브-셀 하이(high)의 인버터의 쌍의 입력에 제공된 입력 전압을 하이 레벨로 풀(pull)하지 않게 한다. 이런 하이 레벨은 특정 열에 대응하는 포트에 대응하는 DISRUPT SELECT 신호의 어서션을 유발시킨다. 그러나, 어느 자격 조건이 존재할 경우, 입력 전압은 로우로 풀되어, DISRUPT SELECT 신호를 디어서트한다.
전술한 바와 같이, 보안 중계기(20)는 매 포트에 기초하여 데이터 패킷을 위한 선택 및 프로그램 가능 디스럽트 응답을 제공한다. 약간 또는 모든 포트는 디스럽트 응답으로 부터 디스에이블될 수 있고, 포트로 부터 제어 가능한 안전 재전송을 허용한다. 2개 이상의 이산 중계기 패킷의 조합으로 형성된 중계기는 확장 가능 및 상관된 보안 특성을 갖는다. 보안 중계기를 간단하고, 효율적인 스케일링 및 확장할 셀 배열의 형성을 위한 간단한 배치가 설명되었다.
결론적으로, 본 발명은 보안 중계기의 선택적 응답에 대해 간단하고 효율적인 솔루션을 데이터 패킷에 제공한다. 본 발명의 양호한 실시예에 대해 기술되었지만, 다양하게 변형 및 수정이 가능하다. 그래서, 상기 기술은 첨부된 청구의 범위에 의해 한정된 본 발명의 범주를 제한하는 것으로 취해지지 않는다.

Claims (40)

  1. 다수의 종단국을 접속하는 망에 이용된 보안 중계기 내의 패킷 보안 방법에 있어서,
    제 1 종단국으로 부터 목적 어드레스를 포함한 패킷을 수신하는 단계,
    상기 패킷으로 부터 상기 목적 어드레스를 인출하는 단계,
    하나 이상의 중계기의 포트와 관련된 다수의 각 저장된 어드레스와 상기 목적 어드레스를 비교하는 단계 및,
    상기 목적 어드레스가 상기 제 1 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 중계기의 포트중 제 1 포트로부터 상기 패킷의 재전송을 디스럽트하는 단계로 이루어지는 것을 특징으로 하는 패킷 보안 방법.
  2. 제 1 항에 있어서,
    상기 목적 어드레스가 상기 제 2 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 중계기의 포트중 제 2 포트로 부터 상기 패킷의 재전송을 디스럽트하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  3. 제 1 항에 있어서,
    상기 목적 어드레스가 특정 패킷으로서 상기 패킷을 식별하는 지를 결정하는 단계 및,
    상기 목적 어드레스가 상기 제 1 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 중계기가 상기 제 1 포트로부터 상기 패킷을 재전송하도록 상기 패킷이 상기 특정 패킷일 시에 상기 디스럽트 단계를 금지하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  4. 제 3 항에 있어서,
    관련된 특정 패킷 인에이블 메모리가 상기 제 1 포트로 부터의 특정 패킷 재전송을 인에이블함을 나타낼 시에만 상기 금지 단계가 상기 디스럽트 단계를 금지하도록 상기 제 1 포트는 상기 관련된 특정 패킷 인에이블 메모리를 가지는 것을 특징으로 하는 패킷 보안 방법.
  5. 제 3 항에 있어서,
    상기 특정 패킷은 방송 패킷인 것을 특징으로 하는 패킷 보안 방법.
  6. 제 3 항에 있어서,
    상기 특정 패킷은 멀티캐스트 패킷인 것을 특징으로 하는 패킷 보안 방법.
  7. 제 4 항에 있어서,
    상기 특정 패킷은 멀티캐스트 패킷인 것을 특징으로 하는 패킷 보안 방법.
  8. 제 4 항에 있어서,
    상기 특정 패킷은 멀티캐스트 패킷 또는 방송 패킷인 것을 특징으로 하는 패킷 보안 방법.
  9. 제 3 항에 있어서,
    관련된 특정 패킷 인에이블 메모리가 상기 제 1 포트로 부터의 특정 패킷 재전송을 인에이블함을 나타낼 시에 상기 금지 단계가 상기 디스럽트 단계를 금지하도록 상기 제 1 포트는 상기 관련된 특정 패킷 인에이블 메모리를 가지며, 상기 특정 패킷은 제 1 형의 특정 패킷이며, 상기 금지 단계는 상기 특정 패킷이 상기 관련된 특정 패킷 인에이블 메모리에 관계없는 제 2 형의 특정 패킷일 시에 상기 디스럽트 단계를 금지시키는 것을 특징으로 하는 패킷 보안 방법.
  10. 제 9 항에 있어서,
    상기 제 1 형의 특정 패킷은 멀티캐스트 패킷이고, 상기 제 2 형의 특정 패킷은 방송 패킷인 것을 특징으로 하는 패킷 보안 방법.
  11. 제 1 항에 있어서,
    상기 목적 어드레스가 중계기의 어느 포트와 관련된 어느 저장된 어드레스와 매치하는 지를 결정하는 단계 및,
    상기 목적 어드레스가 어느 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 선택된 포트에 대한 상기 디스럽트 단계를 금지시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  12. 제 11 항에 있어서,
    관련된 노 매치 인에이블 메모리가 노 어드레스 매치에 의한 상기 선택된 포트로 부터의 패킷 재전송을 인에이블함을 나타낼 시에만 상기 금지 단계가 상기 디스럽트 단계를 금지하도록 상기 선택된 포트는 상기 관련된 노 매치 인에이블 메모리를 가지는 것을 특징으로 하는 패킷 보안 방법.
  13. 제 11 항에 있어서,
    상기 목적 어드레스가 특정 패킷으로서 상기 패킷을 식별하는 지를 결정하는 단계 및,
    상기 목적 어드레스가 상기 선택된 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 중계기가 상기 선택된 포트로부터 상기 패킷을 재전송하도록 상기 패킷이 상기 특정 패킷일 시에 상기 디스럽트 단계를 금지하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  14. 제 13 항에 있어서,
    관련된 특정 패킷 인에이블 메모리가 상기 선택된 포트로 부터의 특정 패킷 재전송을 인에이블함을 나타낼 시에만 상기 특정 패킷 금지 단계가 상기 디스럽트 단계를 금지하도록 상기 선택된 포트는 상기 관련된 특정 패킷 인에이블 메모리를 가지는 것을 특징으로 하는 패킷 보안 방법.
  15. 제 1 항에 있어서,
    상기 제 1 포트에 대한 상기 디스럽트 단계는 상기 목적 어드레스가 상기 제 1 포트로 부터 재전송된 후에까지 금지되는 것을 특징으로 하는 패킷 보안 방법.
  16. 제 2 항에 있어서,
    상기 제 1 포트에 대한 상기 디스럽트 단계는 상기 목적 어드레스가 상기 제 1 포트로 부터 재전송된 후에 까지 금지되고, 상기 제 2 포트에 대한 상기 디스럽트 단계는 상기 목적 어드레스가 상기 제 2 포트로 부터 재전송된 후에 까지 금지되는 것을 특징으로 하는 패킷 보안 방법.
  17. 제 15 항에 있어서,
    상기 패킷은 상기 목적 어드레스에 부가하여 데이터 필드를 포함하고, 상기 방법은,
    상기 목적 어드레스가 상기 제 1 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 중계기가 상기 제 1 포트로 부터 상기 목적 어드레스 및 상기 데이터 필드를 디스럽트되지 않고 재전송하도록 상기 제 1 포트가 디스럽트되지 않은 상기 데이터 필드를 통해 상기 패킷을 재전송한 후에 까지 상기 디스럽트 단계를 금지시키는 단계 및,
    상기 목적 어드레스가 상기 제 1 필드 및 상기 제 2 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 상기 목적 어드레스 및 상기 데이터 필드를 디스럽트되지 않고 재전송한 후에 상기 패킷의 상기 디스럽트를 재인에이블시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  18. 제 17 항에 있어서,
    상기 금지 단계 전에 상기 제 1 포트와 관련된 데이터 필드 지연 메모리가 상기 제 1 포트에 대한 디스럽션 지연의 인에이블을 나타내는 지를 결정하는 단계를 더 포함하는 데,
    상기 금지 단계는 상기 데이터 필드 지연 메모리가 상기 제 1 포트에 대한 디스럽션 지연의 인에이블을 나타낼 시에만 상기 디스럽트 단계를 금지시키는 것을 특징으로 하는 패킷 보안 방법.
  19. 제 17 항에 있어서,
    상기 데이터 필드는 원시 어드레스인 것을 특징으로 하는 패킷 보안 방법.
  20. 제 17 항에 있어서,
    상기 데이터 필드는 상기 패킷의 다수 파트를 포함하는 것을 특징으로 하는 패킷 보안 방법.
  21. 제 20 항에 있어서,
    상기 다수 파트는 상기 패킷의 비연속 파트를 포함하는 것을 특징으로 하는 패킷 보안 방법.
  22. 제 2 항에 있어서,
    특정 저장된 어드레스 상기 제 1 포트 및 상기 제 2 포트와 관련되고, 상기 패킷은 상기 목적 어드레스가 상기 특정 저장된 어드레스와 매치할 시에 상기 제 1 포트 및 상기 제 2 포트 양자로 부터 디스럽트되지 않고 재전송되는 것을 특징으로 하는 패킷 보안 방법.
  23. 제 2 항에 있어서,
    상기 비교 단계 전에 제 1 관련된 어드레스를 저장하는 상기 제 1 포트와 제 1 고정 어드레스 레지스터를 관련시키는 단계,
    상기 비교 단계 전에 제 2 관련된 어드레스를 저장하는 상기 제 2 포트와 제 2 고정 어드레스 레지스터를 관련시키는 단계 및,
    제 1 할당 가능한 어드레스 레지스터내에 저장된 어드레스를 상기 제 1 포트와 관련시키기 전에 할당 가능한 어드레스 레지스터의 풀(pool)로 부터 상기 제 1 포트로 상기 제 1 할당 가능한 어드레스 레지스터를 동적으로 할당하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  24. 제 23 항에 있어서,
    제 2 할당 가능한 어드레스 레지스터내에 저장된 어드레스를 상기 제 2 포트와 관련시키기 전에 할당 가능한 어드레스 레지스터의 풀로 부터 상기 제 2 포트로 상기 제 2 할당 가능한 어드레스 레지스터를 동적으로 할당하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  25. 제 23 항에 있어서,
    제 2 할당 가능한 어드레스 레지스터내에 저장된 제 2 어드레스를 상기 제 1 포트와 관련시키기 전에 할당 가능한 어드레스 레지스터의 풀로 부터 상기 제 1 포트로 상기 제 2 할당 가능한 어드레스 레지스터를 동적으로 할당하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  26. 제 23 항에 있어서,
    제 1 할당 가능한 어드레스 레지스터내에 저장된 어드레스를 상기 제 1 포트 및 상기 제 2 포트 양자와 관련시키기 전에 상기 제 2 포트에 상기 제 1 할당 가능한 어드레스 레지스터를 동적으로 할당하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  27. 제 1 항에 있어서,
    상기 중계기는 단일 논리 중계기를 형성하도록 확장 버스에 의해 제 2 이산 중계기에 결합된 제 1 이산 중계기를 포함하고, 상기 방법은,
    상기 제 1 이산 중계기에 대해서는 상기 목적 어드레스가 상기 제 1 이산 중계기의 어느 포트와 관련된 어느 저장된 어드레스와 매치하는 지를 결정하는 단계,
    상기 제 2 이산 중계기에서의 수신된 목적 어드레스 및, 상기 제 2 이산 중계기의 포트와 관련된 어느 저장된 어드레스 사이에서 매치가 존재하는 지를 나타내는 상기 제 2 이산 중계기로 부터 매치 신호를 수신하는 단계와,
    상기 목적 어드레스가 상기 제 1 이산 중계기의 어느 포트와 관련된 어느 저장된 어드레스와 매치하지 않고, 상기 매치 신호가 상기 제 2 이산 중계기의 어느 저장된 어드레스 및 상기 수신된 목적 어드레스의 노 매치를 나타낼 시에 상기 제 1 이산 중계기의 선택된 포트에 대한 상기 디스럽트 단계를 금지시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  28. 제 27 항에 있어서,
    상기 금지 단계 전에, 상기 제 2 이산 중계기로 부터의 상기 매치 신호가 상기 제 2 이산 중계기의 어느 저장된 어드레스 및 상기 수신된 목적 어드레스의 매치를 나타낼 시기를 결정하는 단계와,
    상기 매치 신호가 매치를 나타내고, 상기 목적 어드레스가 상기 제 1 이산 중계기의 어느 포트와 관련된 어느 저장된 어드레스와 매치하지 않을 시에 상기 제 1 이상 중계기의 선택된 포트에 대한 상기 디스럽트 단계를 허용하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  29. 제 1 항에 있어서,
    상기 중계기는 단일 논리 중계기를 형성하도록 확장 버스에 의해 제 2 이산 중계기에 결합된 제 1 이산 중계기를 포함하고, 상기 방법은,
    상기 제 1 이산 중계기에 대해서는 상기 목적 어드레스가 상기 제 1 중계기의 다수의 선택된 매치-인에이블된 포트의 어느 포트와 관련된 어느 저장된 어드레스와 매치하는 지를 결정하는 단계,
    상기 제 2 이산 중계기에서의 수신된 목적 어드레스 및, 상기 제 2 이산 중계기의 매치-인에이블된 포트와 관련된 어느 저장된 어드레스 사이에서 매치가 존재하는 지를 나타내는 상기 제 2 이산 중계기로 부터 매치 신호를 수신하는 단계와,
    상기 목적 어드레스가 상기 제 1 이산 중계기의 어느 매치-인에이블된 포트와 관련된 어느 저장된 어드레스와 매치하지 않고, 상기 매치 신호가 어느 매치-인에이블된 포트와 관련된 상기 제 2 이산 중계기의 어느 저장된 어드레스 및 상기 수신된 목적 어드레스의 노 매치를 나타낼 시에 상기 제 1 이산 중계기의 선택된 포트에 대한 상기 디스럽트 단계를 금지시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  30. 제 29 항에 있어서,
    상기 제 1 및 2 이산 중계기의 각 포트는 관련된 매치 레지스터를 포함하고, 상기 선택된 포트 및 상기 매치-인에이블된 포트는 상기 관련된 매치 레지스터내에 저장된 값에 의해 식별되는 것을 특징으로 하는 패킷 보안 방법.
  31. 제 27 항에 있어서,
    상기 제 1 이산 중계기는 상기 목적 어드레스 및, 상기 제 1 이산 중계기의 한 포트와 관련된 어드레스 간의 매치를 검출한 후에 상기 매치 신호를 상기 제 2 이산 중계기로 어서트하는 것을 특징으로 하는 패킷 보안 방법.
  32. 제 27 항에 있어서,
    상기 제 1 이산 중계기는 !MATCH 인에이블 레지스터를 포함하고, 상기 방법은,
    상기 금지 단계전에, 상기 !MATCH 인에이블 레지스터가 노 매치와 동시에 디스럽트 금지를 인에이블하는 지를 결정하는 단계 및,
    상기 목적 어드레스가 상기 제 1 이산 중계기의 어느 포트와 관련된 어느 저장된 어드레스와 매치하지 않고, 상기 !MATCH 인에이블 레지스터가 디스럽트 금지를 인에이블하지 않을 시에는 상기 매치 신호가 상기 제 2 이산 중계기의 어느 저장된 어드레스 및 상기 수신된 목적 어드레스의 노 매치를 나타낼 시에 상기 제 1 이산 중계기의 선택된 포트에 대한 상기 디스럽트 단계를 허용하는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  33. 제 1 항에 있어서,
    제 1 보안 인에이블 레지스터에 응답하여, 상기 제 1 보안 인에이블 레지스터가 상기 제 1 포트에 대한 보안이 상기 비교 단계의 결과와 관계없이 중계기에서의 상기 제 1 포트로 부터 상기 패킷을 재전송하도록 디스에이블됨을 나타낼 시에 상기 제 1 포트에 대한 상기 디스럽트 단계를 금지시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 보안 방법.
  34. 다수의 디스럽트 조건 신호에 응답하여 중계기의 다수의 포트로부터의 패킷의 재전송을 독립적으로 제어하는 보안 중계기내의 디스럽트 회로에 있어서,
    다수의 포트에 대응하는 다수의 열, 각 포트에 대한 하나의 열, 다수의 조건 신호에 대응하는 다수의 행 및, 각 디스럽트 조건 신호에 대한 하나의 행을 가진 표준화된 디스럽트 셀의 배열을 포함하는 데, 어느 특정 행은 한 유형의 조건 신호에 대응하는 한 유형의 디스럽트 셀로 구성되고,
    부가적인 조건은 표준화된 디스럽트 셀의 부가적인 행의 가산으로 가산될 수 있는 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  35. 다수의 디스럽트 조건 신호에 응답하여 중계기의 다수의 포트로부터의 패킷의 재전송을 독립적으로 제어하는 보안 중계기내의 디스럽트 회로에 있어서,
    다수의 포트에 대응하는 다수의 열, 각 포트에 대한 하나의 열, 다수의 조건 신호에 대응하는 다수의 행 및, 각 디스럽트 조건 신호에 대한 하나의 행을 가진 표준화된 디스럽트 셀의 배열을 포함하는 데, 어느 특정 행은 한 유형의 조건 신호에 대응하는 한 유형의 디스럽트 셀로 구성되고,
    부가적인 포트는 표준화된 디스럽트 셀의 부가적인 열의 가산으로 가산될 수 있는 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  36. 제 35 항에 있어서,
    각 열은, 대응 포트 p가 패킷을 재전송할 수 있을시에 제 1 값을 가진 디스럽트 선택 신호 및, 대응 포트 p가 디스럽트된 패킷을 재전송할 수 있을 시에 제 2 값을 가진 상기 디스럽트 선택 신호를 독립적으로 어서트하고, 포트 p에 대한 상기 디스럽트 선택 신호는 아래와 같을 시에 상기 제 1 값을 가지며,
    (ENA(p) = 디스에이블된) OR
    (DA = 방송 어드레스) OR
    (LSAE(p) = 인에이블된 AND LSA(p)은 DA와 매치함) OR
    (PSAE(p) = 인에이블된 AND PSA(p)은 DA와 매치함) OR
    (AAE(n,p) = 인에이블된 AND AA(n)은 최소한 하나의 n에 대한 DA와 매치함) OR
    (MULT(p) = 인에이블된 AND DA = 멀티캐스트 어드레스) OR
    (NMAT(p) = 인에이블된 AND MATCH = 노 매치) OR
    (ADDR_1은 DA가 포트 p로 부터 재전송되지 않았음을 나타냄) OR
    (DLY(p) = 인에이블된 AND ADDR_2은 패킷의 예정된 필드가 포트 p로 부터 재전송되지 않았음을 나타냄)
    여기서, MATCH는 아래와 같을 시의 매치를 나타냄
    (LSAE(q) = 인에이블된 AND LSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (PSAE(q) = 인에이블된 AND PSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (AAE(n,q) = 인에이블된 AND AA(q)은 n,q중 최소한 하나의 치환을 위한 DA와 매치함)
    인 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  37. 제 34 항에 있어서,
    다수의 조건 신호중 하나는 MATCH 조건 신호이고, 상기 매치 조건 신호에 대응하는 특정 행에서의 상기 표준화된 디스럽트 셀은 매치형의 디스럽트 셀이고, 상기 매치형의 디스럽트 셀의 디스럽트 응답에 영향을 주는 표준화된 디스럽트 셀의 다수의 행의 서브세트와 상기 배열의 출력측 사이에 삽입되는 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  38. 제 37 항에 있어서,
    선택적으로 인에이블 가능한 표준화된 디스럽트 셀은 각 열에 대한 상기 대응하는 조건 신호에 대한 응답을 인에이블할 메모리 레지스터를 포함하는 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  39. 다수의 조건 신호에 응답하여 중계기의 다수의 포트중 포트 p로 부터의 패킷의 재전송을 독립적으로 제어하는 보안 중계기내의 디스럽트 회로에 있어서,
    포트 p에 결합되어, 패킷을 수신하고, 디스럽트 선택 신호가 제 1 값을 가질시에 포트 p로 부터의 패킷을 재전송하며, 상기 디스럽트 선택 신호가 제 2 값을 가질시에 포트 p로 부터 디스럽트된 패킷을 재전송하는 디스럽터와,
    상기 디스럽터에 결합되고, 다수의 조건 신호에 응답하여, 상기 디스럽트 선택 신호를 제어하는 디스럽트 제어기를 구비하는 데, 상기 디스럽트 선택 신호는 아래와 같을 시에 상기 제 1 값을 가지며,
    (ENA(p) = 디스에이블된) OR
    (DA = 방송 어드레스) OR
    (LSAE(p) = 인에이블된 AND LSA(p)은 DA와 매치함) OR
    (PSAE(p) = 인에이블된 AND PSA(p)은 DA와 매치함) OR
    (AAE(n,p) = 인에이블된 AND AA(n)은 최소한 하나의 n에 대한 DA와 매치함) OR
    (MULT(p) = 인에이블된 AND DA = 멀티캐스트 어드레스) OR
    (NMAT(p) = 인에이블된 AND MATCH = 노 매치) OR
    (ADDR_1은 DA가 포트 p로 부터 재전송되지 않았음을 나타냄) OR
    (DLY(p) = 인에이블된 AND ADDR_2은 패킷의 예정된 필드가 포트 p로 부터 재전송되지 않았음을 나타냄)
    여기서, MATCH는 아래와 같을 시의 매치를 나타냄
    (LSAE(q) = 인에이블된 AND LSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (PSAE(q) = 인에이블된 AND PSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (AAE(n,q) = 인에이블된 AND AA(q)은 n,q중 최소한 하나의 치환을 위한 DA와 매치함)
    인 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
  40. 다수의 조건 신호에 응답하여 중계기의 다수의 포트중 포트 p로 부터의 패킷의 재전송을 독립적으로 제어하는 보안 중계기내의 디스럽트 회로에 있어서,
    포트 p에 결합되어, 패킷을 수신하고, 디스럽트 선택 신호가 제 1 값을 가질시에 포트 p로 부터의 패킷을 재전송하며, 상기 디스럽트 선택 신호가 제 2 값을 가질시에 포트 p로 부터 디스럽트된 패킷을 재전송하는 디스럽터와,
    상기 디스럽터에 결합되고, 다수의 조건 신호에 응답하여, 상기 디스럽트 선택 신호를 제어하는 디스럽트 제어기를 구비하는 데, 상기 디스럽트 선택 신호는 아래와 같을 시에 상기 제 2 값을 가지며,
    (ENA(p) = 인에이블된) AND
    (DA ≠ 방송 어드레스) AND
    (LSAE(p) = 디스에이블된 OR LSA(p)은 DA와 매치하지 않음) AND
    (PSAE(p) = 디스에이블된 OR PSA(p)은 DA와 매치하지 않음) AND
    모든 쌍의 AAE(n,p) 및 관련된 AA(n)에 대해, 어느 하나의 (AAE(n,p) = 디스에이블된 OR AA(n)은 DA와 매치하지 않음) AND
    (MULT(p) = 디스에이블된 OR DA ≠ 멀티캐스트 어드레스) AND
    (NMAT(p) = 디스에이블된 OR MATCH = 매치) AND
    (ADDR_1은 DA가 포트 p로 부터 재전송되었음을 나타냄) AND
    (DLY(p) = 디스에이블된 OR ADD_2은 패킷의 예정된 필드가 포트 p로 부터 재전송되었음을 나타냄)
    여기서, MATCH는 아래와 같을 시의 매치를 나타냄
    (LSAE(q) = 인에이블된 AND LSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (PSAE(q) = 인에이블된 AND PSA(q)은 최소한 하나의 q에 대한 DA와 매치함) OR
    (AAE(n,q) = 인에이블된 AND AA(q)은 n,q중 최소한 하나의 치환을 위한 DA와 매치함)
    인 것을 특징으로 하는 보안 중계기내의 디스럽트 회로.
KR1019970708407A 1995-06-02 1996-04-04 다중어드레스보안아키텍처 KR100442763B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US8/460319 1995-06-02
US08/460,319 US5640393A (en) 1995-06-02 1995-06-02 Multiple address security architecture
US08/460319 1995-06-02

Publications (2)

Publication Number Publication Date
KR19990021932A true KR19990021932A (ko) 1999-03-25
KR100442763B1 KR100442763B1 (ko) 2004-10-22

Family

ID=23828231

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019970708407A KR100442763B1 (ko) 1995-06-02 1996-04-04 다중어드레스보안아키텍처

Country Status (5)

Country Link
US (1) US5640393A (ko)
EP (1) EP0830762A1 (ko)
JP (1) JPH11509382A (ko)
KR (1) KR100442763B1 (ko)
WO (1) WO1996038949A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748736A (en) * 1996-06-14 1998-05-05 Mittra; Suvo System and method for secure group communications via multicast or broadcast
US6269098B1 (en) * 1997-02-14 2001-07-31 Advanced Micro Devices, Inc. Method and apparatus for scaling number of virtual lans in a switch using an indexing scheme
GB9704060D0 (en) * 1997-02-27 1997-04-16 3Com Ireland Multicast filtering
US6134240A (en) * 1997-09-10 2000-10-17 Voloshin; Moshe Chip address allocation through a serial data ring on a stackable repeater
US6298406B1 (en) 1997-10-24 2001-10-02 Sony Corporation Method of and apparatus for detecting direction of reception of bus packets and controlling direction of transmission of bus packets within an IEEE 1394 serial bus node
GB2333676B (en) * 1997-11-28 2001-12-12 3Com Technologies Ltd Network security
BR0016088B1 (pt) 1999-12-01 2010-11-30 método e instalação para produzir tipos de pneu que são mutuamente diferentes.
GB2358761B (en) * 2000-01-25 2002-03-13 3Com Corp Multi-port network communication device with selective mac address filtering
GB0113901D0 (en) * 2001-06-07 2001-08-01 Nokia Corp Security in area networks
US7274699B2 (en) * 2002-09-20 2007-09-25 Caterpillar Inc Method for setting masks for message filtering
US7738385B2 (en) * 2004-11-30 2010-06-15 Broadcom Corporation Mirroring of data in a network device
US7711949B2 (en) * 2006-11-30 2010-05-04 Texas Instruments Incorporated Apparatus and method for frustrating unwanted access to data with a host device
US20170270062A1 (en) * 2016-03-21 2017-09-21 Intel Corporation In-band retimer register access

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8927623D0 (en) * 1989-12-06 1990-02-07 Bicc Plc Repeaters for secure local area networks
US5265123A (en) * 1990-02-15 1993-11-23 Advanced Micro Devices, Inc. Expandable repeater
GB9107031D0 (en) * 1991-04-04 1991-05-22 Bicc Plc Repeaters for digital data networks
US5177788A (en) * 1991-10-15 1993-01-05 Ungermann-Bass, Inc. Network message security method and apparatus
US5353353A (en) * 1993-04-26 1994-10-04 Advanced Micro Devices, Inc. Repeater security system
US5394402A (en) * 1993-06-17 1995-02-28 Ascom Timeplex Trading Ag Hub for segmented virtual local area network with shared media access

Also Published As

Publication number Publication date
EP0830762A1 (en) 1998-03-25
KR100442763B1 (ko) 2004-10-22
JPH11509382A (ja) 1999-08-17
WO1996038949A1 (en) 1996-12-05
US5640393A (en) 1997-06-17

Similar Documents

Publication Publication Date Title
US5539737A (en) Programmable disrupt of multicast packets for secure networks
KR100216857B1 (ko) 내용 어드레스 메모리 장치
US7391719B2 (en) Redundant network interface for ethernet devices
US5353353A (en) Repeater security system
US5161192A (en) Repeaters for secure local area networks
US5550803A (en) Method and system for increasing network information carried in a data packet via packet tagging
US6236654B1 (en) Method and apparatus for managing learning in an address table in memory
US5414694A (en) Address tracking over repeater based networks
KR19990021932A (ko) 다중 어드레스 보안 아키텍처
JPH114247A (ja) ネットワークメディアと集積回路間の自己学習機能を有するブリッジデバイス及びこれに基づく方法
EP0469812A1 (en) Detection of duplicate alias addresses
US6205147B1 (en) Virtual network architecture
WO1996021302A1 (en) Programmable address mapping matrix for secure networks
US5590201A (en) Programmable source address locking mechanism for secure networks
US5654985A (en) Address tracking over repeater based networks
EP0815672B1 (en) Inverse packet disruption secure networks
US5754525A (en) Programmable delay of disrupt for secure networks
US5577206A (en) System for physical layer controllers for performing automatic hardware based scrubbing of input and output dirty flags for updating system configuration changes
EP0668680B1 (en) Address tracking over repeater based networks
US6934172B2 (en) Priority encoder for successive encoding of multiple matches in a CAM
KR100250784B1 (ko) 컴퓨터 네트워크 브리지 회로
Maynard et al. IEIII
JPH06334702A (ja) 回線切替回路
JP2000324151A (ja) Hub制御装置
JPH04304733A (ja) 閉域接続用監視ノード

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100629

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee